#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный модуль PAM в Linux, содержащий менее 100 строк кода, позволяет красть учетные данные, обходить аутентификацию и скрытно сохранять данные. Он использует жестко заданный пароль для доступа, сбора конфиденциальных данных и связи с сервером C2, что повышает риск использования простых, но эффективных уязвимостей в критически важных системах аутентификации. Обнаружение затруднено из-за интеграции модуля в платформу PAM, что требует строгих мер мониторинга и проверки подлинности.
-----

Платформа Pluggable Authentication Modules (PAM) в Linux является критически важным компонентом для управления аутентификацией, который также может быть использован хакерами. Анализ выявил бэкдор, реализованный в виде модуля PAM, состоящий менее чем из 100 строк кода, способный осуществлять кражу учетных данных, обход аутентификации и поддерживать скрытую сохранность в скомпрометированных системах.

Вредоносные модули PAM могут быть внедрены в процесс аутентификации, поскольку они являются объектами, совместно используемыми во время выполнения, и предоставляют прямой доступ к конфиденциальным учетным данным пользователя. Злоумышленники могут незаметно вставлять вредоносные модули на диск и настраивать конфигурацию PAM для загрузки этих модулей без необходимости изменения двоичных файлов запуска, что затрудняет обнаружение. Несмотря на то, что выявленные варианты были найдены на диске, более продвинутые методы, такие как внесение исправлений в память или внедрение модуля, остаются выполнимыми и потенциально более трудными для обнаружения.

Проверенный бэкдор взаимодействует с функцией pam_sm_authenticate(), которая имеет решающее значение на этапе аутентификации пользователя. Одной из ключевых особенностей вредоносного модуля PAM является его способность полностью обходить аутентификацию с помощью жестко заданного пароля, что позволяет любому пользователю получить доступ и выдать себя за законные учетные записи. Кроме того, когда происходит этот обход, на сервер управления (C2) отправляется предупреждение. Бэкдор также захватывает конфиденциальную информацию, такую как имена пользователей, пароли и порты прослушивания SSH, передавая эти данные обратно злоумышленникам, что позволяет установить обратное соединение с уязвимым хостом.

В ответ на такие угрозы специалистам по безопасности рекомендуется принять специальные технические меры. К ним относятся проверка всех общих объектов, расположенных в /lib/security, на соответствие заведомо достоверным хэшам, тщательный мониторинг изменений в /etc/pam.d/* и использование систем аудита для отслеживания загрузки модулей. Кроме того, следует тщательно проверять журналы аутентификации на предмет любых неожиданных успешных попыток входа в систему, особенно тех, которые обходят многофакторную аутентификацию. Такие инструменты, как THOR, могут использоваться для поиска поведенческих аномалий в разных системах, в то время как рекомендуется регулярно обновлять покрытие сигнатур и проводить периодические проверки с помощью thor-util upgrade.

Этот инцидент подчеркивает значительный риск, связанный с простыми, но эффективными внедрениями в жизненно важные области операционной системы. Злоумышленники могут достичь своих целей без сложного вредоносного ПО, полагаясь на тонкое понимание границ доверия и использование минимальных уязвимостей в коде.

#ParsedReport #CompletenessHigh
30-05-2025

Dark Web Profile: NightSpire Ransomware

https://socradar.io/dark-web-profile-nightspire-ransomware/

Report completeness: High

Threats:
Nightspire
Lolbin_technique
Mimikatz_tool
Rclone_tool
Credential_dumping_technique

Victims:
Taiwanese government, Hospital, Small to medium-sized enterprises

Industry:
Healthcare, Education, Government, Retail

Geo:
Spain, Poland, Japan, Egypt, France, Taiwan, India, Taiwanese, Hong kong

CVEs:
CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)


TTPs:
Tactics: 2
Technics: 11

IOCs:
Domain: 1
Hash: 1

Soft:
PsExec, Active Directory, ProtonMail, Telegram

Algorithms:
aes-256

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NightSpire - это финансово мотивированная группа программ-вымогателей, использующая тактику двойного вымогательства для малых и средних предприятий по всему миру, используя уязвимости, такие как CVE-2024-55591. Они используют методы "жизни за пределами страны" и утечку данных для оказания давления на жертв. Упреждающие меры кибербезопасности, включая внесение исправлений и сегментацию сети, необходимы для защиты.
-----

NightSpire, появившаяся в начале 2025 года как финансово мотивированная группа вымогателей, использует стратегию двойного вымогательства, шифруя данные жертв и угрожая опубликовать их на своем сайте утечки данных в темной сети (DLS), если выкуп не будет выплачен. Деятельность группы характеризуется ориентацией на малые и средние предприятия (МСП) в различных секторах с заметным географическим охватом, который в основном включает Соединенные Штаты, Тайвань, Гонконг и некоторые части Европы. Они не преследуют конкретных геополитических целей, вместо этого выбирают жертв, основываясь на выявленных уязвимостях и общем отсутствии соблюдения правил кибербезопасности.

NightSpire в основном нацелен на такие отрасли, как технологии, ИТ-услуги, финансовые услуги, производство и образование, что отражает более широкую тенденцию к атакам программ-вымогателей, нацеленных на малозащищенные предприятия малого и среднего бизнеса. Жертвы часто сталкиваются с ограниченными ресурсами кибербезопасности и устаревшей инфраструктурой, что делает их более восприимчивыми к угрозам. Группа сочетает традиционную тактику вымогателей с современными подходами, включая использование незащищенных веб-серверов и известных уязвимостей, в частности CVE-2024-55591, для получения первоначального доступа. Оказавшись внутри, NightSpire использует методы "жизни за пределами земли", используя законные инструменты, такие как PowerShell и PsExec, для навигации по сети и повышения привилегий.

Ключевые аспекты операционной системы NightSpire включают в себя сбор данных перед развертыванием программ-вымогателей, упаковку конфиденциальных файлов для передачи в инфраструктуру, контролируемую злоумышленниками. Эти данные служат рычагом при переговорах о выкупе, а для взаимодействия с жертвами используются безопасные платформы. Группа осуществляет психологическое давление с помощью тактики запугивания, что создает напряженность в переговорах о выкупе.

Для защиты от таких атак организациям рекомендуется принимать упреждающие меры кибербезопасности. К ним относятся оперативное исправление общедоступных систем, особенно уязвимых к выявленным CVE, применение строгих методов аутентификации, ограничение перемещения по сети и внедрение строгих мер защиты учетных данных. Сегментация сети, автономное резервное копирование без изменений и регулярно проверяемые планы реагирования на инциденты также рекомендуются для снижения потенциального ущерба от операций программ-вымогателей, подобных тем, которые выполняет NightSpire. Постоянный мониторинг показателей компрометации, связанных с группой, повышает устойчивость организации к подобным угрозам.

#ParsedReport #CompletenessLow
30-05-2025

ScreenConnect Cloud HACKED by Nation-State Actor!

https://www.secureblink.com/cyber-security-news/screen-connect-cloud-hacked-by-nation-state-actor

Report completeness: Low

Threats:
Screenconnect_tool
Connectwise_tool
Supply_chain_technique

Victims:
Connectwise, Managed service providers, It departments, Screenconnect cloud customers

Geo:
North korean

CVEs:
CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2025-3935 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1003, T1021, T1190

Soft:
ASP.NET

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания ConnectWise сообщила об инциденте с кибербезопасностью, в результате которого один из государственных субъектов использовал CVE-2025-3935 в своем программном обеспечении ScreenConnect, что повлияло на некоторых облачных клиентов. Уязвимость связана с внедрением кода ViewState, что может привести к удаленному выполнению кода путем кражи секретных машинных ключей. Вероятно, взлом начался в августе 2024 года, и организациям рекомендуется усилить меры безопасности и провести аудит системы.
-----

Компания ConnectWise раскрыла инцидент с кибербезопасностью, связанный с предполагаемым государственным субъектом, который воспользовался критической уязвимостью в программном обеспечении удаленного доступа ScreenConnect, идентифицированной как CVE-2025-3935. Этот инцидент затронул ограниченное число клиентов, размещенных в облаке, что вызвало тревогу в сообществе поставщиков управляемых услуг (MSP). Конкретная уязвимость - это ошибка при внедрении кода ViewState, вызванная небезопасной десериализацией в рамках платформы ASP.NET, особенно влияющая на ScreenConnect версий 25.2.3 и более ранних. Он получил рейтинг "Высокого" приоритета из-за потенциальной возможности активного использования, позволяя хакерам с привилегированным доступом на системном уровне красть секретные машинные ключи, которые затем могут быть использованы для удаленного выполнения кода на уязвимых серверах.

Хронология инцидента указывает на то, что первоначальное нарушение могло произойти уже в августе 2024 года, а ConnectWise обнаружила подозрительную активность примерно в мае 2025 года. После этого открытия компания привлекла фирму по кибербезопасности Mandiant для проведения всестороннего расследования и работает в координации с правоохранительными органами. Однако ConnectWise не раскрывает, сколько клиентов было затронуто, точное время взлома и были ли подтверждены какие-либо вредоносные действия при фактической установке ScreenConnect.

Хотя в рекомендациях ConnectWise не указывался вектор атаки, обсуждения среди пострадавших клиентов предполагают, что атака, скорее всего, началась с компрометации внутренней сети ConnectWise. Злоумышленники, по-видимому, украли секретные машинные ключи, что позволило им получить несанкционированный доступ к серверам и потенциально подключиться к средам клиентов, которые полагались на эти облачные сервисы. В ConnectWise заявили, что больше не наблюдали подозрительной активности после принятия мер по сдерживанию и усовершенствованию своих протоколов безопасности.

Этот инцидент примечателен тем, что он следует за другой существенной уязвимостью (CVE-2024-1709) в ScreenConnect, которая ранее использовалась группами программ-вымогателей и лицами, спонсируемыми государством. В свете этого нарушения пострадавшим организациям рекомендуется принять меры по реагированию на инциденты, включая замену учетных данных и тщательный аудит системы на наличие признаков несанкционированного доступа. ConnectWise продолжает расследование и обещает обновлять его по мере поступления дополнительной информации, подчеркивая острую необходимость быстрого реагирования и строгих мер безопасности в условиях постоянных атак хакеров на платформы управления ИТ.

#ParsedReport #CompletenessLow
30-05-2025

Deep Dive into a Dumped Malware without a PE Header

https://www.fortinet.com/blog/threat-research/deep-dive-into-a-dumped-malware-without-a-pe-header

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1005, T1014, T1024, T1027, T1036.004, T1055.001, T1059.001, T1071, T1071.001, T1071.004, have more...

IOCs:
File: 18
Domain: 1
Url: 1

Soft:
Windows Service

Algorithms:
sha256, xor

Functions:
SealMessage, GdipCreateBitmapFromHBITMAP, GdipSaveImageToStream, GdipDisposeImage

Win API:
VirtualAlloc, GetObjectW, LoadLibraryA, LoadLibraryW, CreateThread, getaddrinfo, DecryptMessage, CreateStreamOnHGlobal, GdiplusStartup, GetSystemMetrics, have more...

Win Services:
bits

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО, идентифицированное как RAT, было внедрено в рамках процесса dllhost.exe, использующего сценарии PowerShell и передовые методы обхода, такие как поврежденные заголовки. Оно взаимодействовало со своим сервером C2 "rushpapers.com" по протоколу TLS, позволяя захватывать данные и манипулировать системой с помощью многопоточных сокетов и API Service Control Manager.
-----

Анализ был сосредоточен на конкретной вредоносной программе, работающей в среде взломанного компьютера, в частности, в рамках процесса dllhost.exe. Вредоносная программа была запущена с помощью комбинации скриптов и PowerShell и работала в течение нескольких недель до обнаружения. Был получен и проанализирован дамп памяти вредоносного ПО, который показал, что оно было внедрено в память между адресами 0x1c3eefb0000 и 0x1c3ef029fff. Удаленный файл, идентифицированный как 64-разрядный PE-файл, содержал поврежденные заголовки DOS и PE, что затрудняло восстановление. Такое повреждение часто используется вредоносными программами для уклонения от обнаружения и анализа.

Для динамического анализа вредоносного ПО исследователям пришлось воссоздать скомпрометированную среду, запустив процесс dllhost.exe в отладчике. Эта настройка потребовала выполнения сложных шагов для определения точки входа вредоносного ПО, которая отличалась от обычной, поскольку в заголовке PE не была указана точка входа. Вместо этого исследователи использовали IDA Pro для определения начальной точки функции, подтвердив, что она находится по адресу 0x1C3EEFEE0A8. Затем последовали задачи по управлению памятью, в ходе которых были использованы методы динамического выделения памяти, такие как VirtualAlloc(), а также перемещение 257 адресов Windows API по 16 модулям, необходимым для запуска вредоносной программы.

Вредоносная программа была подтверждена как троян удаленного доступа (RAT) из-за ее возможностей значительно контролировать зараженную машину. После запуска она расшифровала информацию о своем сервере управления (C2), продемонстрировав связь по протоколу TLS с доменом "rushpapers.com" на порту 443. Коммуникация вредоносного ПО включала использование API getaddrinfo() для разрешения DNS, создания зашифрованных каналов для передачи данных, что требовало взлома процедур шифрования и дешифрования для анализа открытого текстового содержимого.

Дальнейшее изучение ее функциональности показало, что она позволяла злоумышленнику получать изображения экрана и собирать данные об активности пользователей в взломанной системе. Использование многопоточной архитектуры сокетов позволяло вредоносному ПО прослушивать входящие соединения, облегчая сложные взаимодействия и дальнейшую эксплуатацию взломанной системы хакером. Кроме того, вредоносная программа может взаимодействовать с системными службами через API Service Control Manager, позволяя перечислять системные службы и манипулировать ими.

#ParsedReport #CompletenessLow
30-05-2025

Commvault Metallic 0-Day Breach: What Happened and What It Means

https://www.varonis.com/blog/commvault-metallic-vulnerability

Report completeness: Low

Actors/Campaigns:
Ghostemperor
Hafnium

Threats:
Supply_chain_technique

Victims:
Commvault, Microsoft 365 customers

Industry:
Critical_infrastructure

Geo:
Chinese

CVEs:
CVE-2025-3928 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- commvault (<11.20.217, <11.28.141, <11.32.89, <11.36.46)


ChatGPT TTPs:
do not use without manual check
T1078, T1190, T1505.003, T1552

IOCs:
File: 2
IP: 1
Domain: 2

Soft:
Twitter

Languages:
ruby

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость нулевого дня (CVE-2025-3928) в платформе Commvault Metallic SaaS позволила злоумышленникам развернуть веб-оболочку и получить доступ к данным Microsoft 365, которую приписывают китайскому хакеру Salt Typhoon. Организациям рекомендуется чередовать учетные данные, журналы аудита, применять меры контроля доступа и вносить исправления в системы для снижения рисков.
-----

22 мая 2025 года в платформе Commvault Metallic SaaS, которая используется для резервного копирования данных Microsoft 365, была использована уязвимость, обозначенная как CVE-2025-3928. Эта уязвимость нулевого дня была обнаружена в веб-сервере, что позволяет злоумышленникам, прошедшим проверку подлинности, развертывать веб-оболочки и получать несанкционированный доступ к секретным данным клиентов. В результате злоумышленники могут проникать в клиентские среды Microsoft 365, демонстрируя значительные риски, связанные с уязвимостями сторонних производителей и цепочки поставок.

В ответ на это нарушение организациям, использующим сервисы Commvault, рекомендуется внедрить несколько стратегий по устранению последствий. Для предотвращения дальнейшего несанкционированного доступа необходимо немедленно изменить учетные данные для секретных приложений, управляемых Commvault. Кроме того, командам следует провести тщательный аудит журналов входа в систему Microsoft для выявления любых несанкционированных входов в систему или изменений. Рекомендуется также применять политики контроля доступа, в частности, те, которые ограничивают аутентификацию IP-адресами, внесенными в белый список. Кроме того, для обеспечения соблюдения принципа наименьших привилегий необходима повторная оценка разрешений, назначенных участникам обслуживания. Наконец, все автономные экземпляры веб-сервера Metallic web server должны быть исправлены последними обновлениями от Commvault, чтобы устранить выявленную уязвимость.

Этот инцидент иллюстрирует критический характер безопасности цепочки поставок, подчеркивая, что слабые места в платформе поставщика могут напрямую влиять на безопасность клиентов. Атака была совершена китайским хакером Salt Typhoon, спонсируемым государством, известным своими атаками на критически важную инфраструктуру США и поставщиков облачного программного обеспечения. Эта кампания свидетельствует о растущей тенденции к атакам на цепочки поставок программного обеспечения, когда уязвимости используются благодаря доверительным отношениям между предприятиями и их поставщиками SaaS, что вызывает опасения по поводу надежности мер безопасности в взаимосвязанных системах.

#ParsedReport #CompletenessLow
30-05-2025

Malicious npm Package Wipes Codebases with Remote Trigger

https://socket.dev/blog/npm-package-wipes-codebases-with-remote-trigger

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Developers

Geo:
French

TTPs:
Tactics: 1
Technics: 6

IOCs:
Email: 1
File: 8
Url: 1
Domain: 1

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на цепочку поставок npm включала в себя опечатанный пакет xlsx-to-json-lh, который содержит полезную нагрузку для подключения к серверу C2 и может рекурсивно удалять каталоги проекта. Действующий с 2019 года, он использует ошибки пользователей, нацеленные на разработчиков, и использует тактику троянского коня для сокрытия своей вредоносной деятельности.
-----

Исследовательская группа Socket Threat обнаружила серьезную атаку на цепочку поставок npm, для которой характерны опечатки и удаленное выполнение кода. Указанный вредоносный пакет с именем xlsx-to-json-lh полностью имитирует законный пакет xlsx-to-json-lc, отличаясь от него одной буквой. Опубликованный в феврале 2019 года, xlsx-to-json-lh содержит скрытую полезную нагрузку, которая при активации устанавливает постоянное соединение с сервером управления (C2). Этот пакет, который оставался необнаруженным в течение шести лет, может выполнять команды, которые рекурсивно удаляют целые каталоги проекта без каких-либо предупреждений или вариантов восстановления. Несмотря на его вредоносные намерения, пакет все еще можно найти в реестре npm, и был направлен официальный запрос на его удаление.

Атака использует популярность своего законного аналога, xlsx-to-json-lc, который был загружен примерно 500 000 раз с момента его выпуска в 2016 году. Используя распространенные опечатки, злоумышленник стратегически выбрал название из xlsx-в-json-lh, нацелившись на разработчиков, которые могли по ошибке ввести неверное имя пакета. Примечательно, что, хотя вредоносный пакет был получен от, казалось бы, заслуживающего доверия разработчика leonhard, наше исследование показывает, что другие пакеты, приписываемые этому разработчику, выглядят законными и не вредоносными. Это говорит о том, что атака xlsx-to-json-lh была целенаправленным маневром, а не частью более масштабной вредоносной кампании.

Механизм работы xlsx-to-json-lh демонстрирует сложный подход. В отличие от типичных вредоносных программ, которые немедленно нарушают функциональность, этот пакет использует тактику троянского коня. Он содержит функциональный код для преобразования Excel в JSON, позволяющий ему пройти первоначальные тесты функциональности, скрывая при этом его истинную вредоносную цель. После импорта в проект пакет поддерживает постоянное соединение с WebSocket, готовое к выполнению команд без необходимости дальнейшего взаимодействия с пользователем. Получив специальную команду "remise zro" (что по-французски означает "сброс"), вредоносная программа вычисляет корневой каталог проекта и начинает рекурсивное удаление файлов, создавая серьезную угрозу для рабочей среды разработчиков.

#ParsedReport #CompletenessLow
30-05-2025

Coordinated Cloud-Based Scanning Operation Targets 75 Known Exposure Points in One Day

https://www.greynoise.io/blog/coordinated-cloud-based-scanning-operation-targets-75-known-exposure-points

Report completeness: Low

Threats:
Shellshock_vuln

Industry:
Iot, Financial, Petroleum

Geo:
Japan

CVEs:
CVE-2017-5638 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache struts (<2.3.32, <2.5.10.1)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)
- atlassian confluence server (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)

CVE-2017-10271 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle weblogic server (10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0)

CVE-2018-11776 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache struts (<2.3.35, <2.5.17)

CVE-2015-1427 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- elastic elasticsearch (<1.3.8, <1.4.3)

CVE-2014-6271 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gnu bash (le4.3)

CVE-2018-15961 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe coldfusion (11.0, 2016, 2018)

CVE-2018-10561 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon router firmware (-)

CVE-2018-16763 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- thedaylightstudio fuel cms (le1.4.2)

CVE-2019-2725 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle agile plm (9.3.3, 9.3.4, 9.3.5)
- oracle communications converged application server (5.1, 7.0, 7.1)
- oracle peoplesoft enterprise peopletools (8.56, 8.57, 8.58)
- oracle storagetek tape analytics sw tool (2.3)
- oracle tape library acsls (8.5)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1583.003, T1592, T1595

IOCs:
File: 2
IP: 251

Soft:
Apache Struts, PHPUnit, ColdFusion, WebLogic, Ivanti EPMM, Adobe ColdFusion, Confluence, Drupal, WordPress, JBoss, have more...

Languages:
groovy

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
8 мая в ходе разведывательной операции в Японии был использован 251 вредоносный IP-адрес, что позволило выявить множество уязвимостей, включая CVE-2018-15961 и CVE-2017-5638. Скоординированное сканирование было нацелено на такие технологии, как ColdFusion и Apache Struts, что указывало на возможные последующие попытки их использования.
-----

8 мая была зафиксирована скоординированная разведывательная операция с использованием 251 вредоносного IP-адреса, все они были геолокированы в Японии и размещены на Amazon AWS. В течение одного дня эти адреса выполняли 75 различных операций сканирования, которые включали попытки использования известных уязвимостей (CVE) и поиск неправильных настроек веб-инфраструктуры. Эта операция подчеркивает тревожную тенденцию к возрождению давно бездействующих векторов атак, о чем сообщает GreyNoise, которая классифицировала все задействованные IP-адреса как вредоносные.

Сканирование проводилось с использованием целого ряда технологий, включая ColdFusion, Apache Struts, Elasticsearch, WebLogic и Tomcat. Активно изучались конкретные уязвимости, такие как ColdFusion (CVE-2018-15961), Apache Struts (CVE-2017-5638) и Elasticsearch Groovy (CVE-2015-1427), для каждой из которых было зарегистрировано большое количество проверок. Кроме того, были использованы методы разведки, такие как проверка авторства WordPress и сканирование CGI-скриптов, в сочетании с проверками неправильной конфигурации, которые включали в себя обход конфигурации Git и выявление переменных среды.

Анализ, проведенный GreyNoise, показал, что наблюдаемые IP-адреса до и после скоординированного сканирования работали без сбоев, что позволяет предположить использование арендованной инфраструктуры для этой операции. Тесная координация между IP-адресами свидетельствует о намеренной, а не случайной активности, при этом совпадения в поведении при сканировании подтверждаются многочисленными уязвимостями.

Рекомендуются защитные меры, в том числе немедленная блокировка 251 выявленного вредоносного IP-адреса и внедрение стратегий динамической блокировки IP-адресов для предотвращения возможных последующих попыток использования. Схема этого скоординированного сканирования указывает на возможные действия, предшествующие попыткам использования, которые ранее наблюдались в случае с другими уязвимостями нулевого дня. Следовательно, для организаций крайне важно отслеживать журналы и проявлять бдительность в отношении подобных действий, чтобы повысить уровень своей безопасности.

#ParsedReport #CompletenessHigh
30-05-2025

APT41 Targets Governments with New TOUGHPROGRESS Malware Using Google Calendar for C2

https://socradar.io/apt41-toughprogress-malware-google-calendar/

Report completeness: High

Actors/Campaigns:
Winnti (motivation: financially_motivated, cyber_espionage)

Threats:
Toughprogress
Voldemort
Dusttrap
Process_hollowing_technique
Spear-phishing_technique
Plusdrop
Plusinject
Process_injection_technique

Victims:
Government organizations

Industry:
Transport, Government, Logistic

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1055.012, T1204.002, T1566.001

IOCs:
File: 4
Domain: 6
Url: 16
Hash: 7

Soft:
TryCloudflare, InfinityFree

Algorithms:
md5, zip, xor

Win API:
VirtualAlloc

YARA: Found