#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры, такие как UNC3944 и UNC6040, используют вишинг для манипулирования сотрудниками с целью раскрытия конфиденциальной информации, что способствует таким атакам, как подмена SIM-карты и кража данных. Организациям следует внедрять надежные меры защиты от мошенничества и проводить обучение по выявлению попыток социальной инженерии, чтобы усилить защиту от этих тактик.
-----

Социальная инженерия, особенно в форме голосовых мошенничеств, известных как "вишинг", стала известной тактикой, используемой финансово мотивированными хакерами для получения первоначального доступа к организациям. Эти злоумышленники используют уязвимые места человека, такие как доверие и желание быть полезными, используя методы манипулирования людьми с целью разглашения конфиденциальной информации или совершения несанкционированных действий. Ключевой игрок в этой области, зарегистрированный как UNC3944 (также известный как “Рассеянный паук”), использовал vishing для выдачи себя за сотрудников и использования корпоративных служб поддержки для сброса учетных данных и многофакторной аутентификации (MFA). Этот доступ позволяет осуществлять последующие атаки, включая замену SIM-карты, внедрение программ-вымогателей и кражу данных.

Аналогичным образом, другой участник, идентифицированный как UNC6040, использует особый подход к мошенничеству. Их операторы выдают себя за службы ИТ-поддержки с целью обманом заставить сотрудников авторизовать вредоносное приложение, подключенное к Salesforce, что приводит к крупномасштабной утечке данных из среды жертвы. Оба участника подчеркивают разнообразие рисков, с которыми сталкиваются организации, поскольку один фокусируется на захвате аккаунтов и расширении доступа, в то время как другой сосредотачивается на целенаправленной краже данных системы управления взаимоотношениями с клиентами (CRM).

Для эффективной защиты от подобной тактики организации должны осознавать важность тщательной разведки, проводимой злоумышленниками, которая повышает доверие к попыткам социальной инженерии и их успешность. Как только выявляется уязвимое место, например номер службы поддержки, злоумышленники могут подделывать звонки, выдавая себя за законную службу ИТ-поддержки, особенно если нет установленных протоколов для проверки входящих вызовов.

Для устранения этих угроз важно внедрить надежные методы MFA на всех уязвимых интернет-порталах. Организациям рекомендуется стандартизировать решения MFA, исключив такие слабые методы, как SMS или голосовые вызовы, которые особенно уязвимы для вишинг-атак. Внедрение методов защиты от фишинга, таких как ключи безопасности FIDO2, и тщательное обучение сотрудников голосовым угрозам укрепят систему защиты. Регулярные симуляции фишинга, включая сценарии вишинга, могут помочь сотрудникам распознавать распространенные предлоги и уделять особое внимание протоколам проверки при неожиданных запросах конфиденциальной информации.

Наконец, использование технологий управления информацией о безопасности и событиях (SIEM) и координации, автоматизации и реагирования на них (SOAR) может помочь отслеживать активность пользователей и взаимодействие с service desk. Это позволяет организациям создавать оповещения о подозрительных действиях, связанных со сбросом пароля, регистрацией MFA и необычными попытками входа в систему. Упреждающее расследование любых помеченных действий имеет решающее значение для поддержания целостности безопасности в корпоративных сетях. Понимание этих хакерских приемов и принятие превентивных мер повысят устойчивость организации к растущей угрозе, исходящей от социальной инженерии на основе голоса.

#ParsedReport #CompletenessMedium
04-06-2025

How Threat Actors Exploit Human Trust: A Breakdown of the 'Prove You Are Human' Malware Scheme

https://dti.domaintools.com/how-threat-actors-exploit-human-trust/

Report completeness: Medium

Actors/Campaigns:
Carbanak
Storm-0408

Threats:
Netsupportmanager_rat
Fakecaptcha_technique
Socgholish_loader

ChatGPT TTPs:
do not use without manual check
T1027, T1056.003, T1059.001, T1071.001, T1105, T1140, T1192, T1204.001, T1547.001, T1566.002, have more...

IOCs:
Domain: 60
Url: 11
File: 6
Hash: 17
IP: 6

Soft:
Windows Registry, Discord

Algorithms:
7zip, zip

Languages:
php, powershell

Links:
https://github.com/3ls3if/Cybersecurity-Notes/blob/main/readme/social-engineering/clipboard-hijacking-post.md
https://github.com/DomainTools/SecuritySnacks/blob/main/2025/Prove-You-Are-Human.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания использует поддельные Gitcodes и сайты Docusign, чтобы обманом заставить пользователей запускать вредоносные сценарии PowerShell, что приводит к установке NetSupport RAT. Методы включают в себя отравление буфера обмена, многоступенчатые процессы загрузки и использование кодировки ROT13 для обфускации, что связано с хакерским кластером SocGholish.
-----

В этом отчете описывается вредоносная кампания, которая использует мошеннические веб-сайты, в частности поддельные Git-коды и поддельные страницы подтверждения Docusign, чтобы ввести пользователей в заблуждение и заставить их выполнять вредоносные сценарии PowerShell в своих системах Windows. Жертв обманом заставляют скопировать и запустить эти скрипты с помощью командной строки Windows, которая запускает многоуровневый процесс загрузки, приводящий к установке NetSupport RAT (троян удаленного доступа).

На веб-сайтах Gitcodes были обнаружены вредоносные скрипты PowerShell, облегчающие загрузку дополнительных скриптов. Исходный скрипт извлекает скрипт PowerShell второго этапа, который, в свою очередь, выполняет функцию загрузчика, отправляя несколько веб-запросов для получения скриптов третьего этапа из различных доменов. Эта цепочка запросов в конечном итоге приводит к тому, что на скомпрометированном компьютере выполняется запрос NetSupport RAT. Сайт Gitcodes, о котором идет речь, под названием "Gitcodes - инструмент для вставки # 1 с 2002 года!", был заполнен скриптом PowerShell, предназначенным для запутывания процесса сбора доменов и обеспечения устойчивости вредоносного ПО путем изменения системного реестра, чтобы обеспечить автоматический запуск RAT при входе пользователя в систему.

В ходе кампании также были выявлены дополнительные домены, включая поддельные веб-сайты Docusign, на которых аналогичным образом использовались многоэтапные программы загрузки скриптов. Вредоносная функция наиболее заметна в "docusign.sa.com/verification/s.php", где содержимое страницы изначально закодировано в ROT13, чтобы избежать обнаружения. Эта страница имитирует проверку с помощью CAPTCHA и после взаимодействия с пользователем запускает атаку, связанную с заражением буфера обмена, копируя вредоносный скрипт PowerShell в буфер обмена пользователя. Это побуждает жертву вставить скопированную строку в приглашение запуска Windows, запустив, таким образом, другой загрузчик PowerShell.

Атака с помощью буфера обмена инициирует последовательность действий, включающих проверки с помощью сервера управления и переписки (C2). После активации процесс извлекает, разархивирует и выполняет окончательную загрузку под названием "jp2launcher.exe", что приводит к установке NetSupport RAT на взломанный компьютер. Попытки фишинга по электронной почте и в социальных сетях, вероятно, использовались для распространения поддельного веб-сайта Docusign.

Несмотря на то, что кодировка ROT13 обеспечивает уровень обфускации, в отчете указывается, что во вредоносном коде присутствуют обнаруживаемые шаблоны, такие как согласованные строки и комментарии в PHP-скриптах, позволяющие осуществлять уникальную идентификацию. Анализ выявил использование схожих методов и закономерностей, которые согласуются с ранее сообщавшимися действиями, связанными с SocGholish, известным хакерским кластером. NetSupport Manager, хотя и является законным инструментом администрирования, был перепрофилирован различными хакерскими группами, включая FIN7 и STORM-0408, в троянскую программу удаленного доступа, что подчеркивает ее распространенность в незаконной деятельности. Эта кампания основана на обмане пользователей и многоэтапных стратегиях выполнения, которые, по-видимому, призваны повысить устойчивость к обнаружению и реагированию со стороны служб безопасности.

#ParsedReport #CompletenessHigh
04-06-2025

Activity of the Phamtomcore group in May 2025

https://www.f6.ru/blog/traces-of-phantomcore/

Report completeness: High

Actors/Campaigns:
Phantomcore

Threats:
Phantomcore
Phantomrat
Phantomdl
Sliver_c2_tool
Statrat
Procmon_tool
Upx_tool

Industry:
Energy

Geo:
Russian, Moscow, Belarusian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1053.005, T1057, T1059.001, T1070.004, T1071.001, T1083, T1105, T1112, have more...

IOCs:
File: 30
Hash: 20
Domain: 21
Command: 4
Path: 3
Coin: 1
Url: 11
IP: 2

Soft:
Curl, Windows Defender

Algorithms:
zip, md5, sha1

Win API:
ISDebuggerPResent

Languages:
powershell, golang, php

Platforms:
amd64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Phantomcore нацелена на российские и белорусские организации, переходя от кражи данных к тактике, ориентированной на шифрование. Их недавние атаки включают рассылку вредоносных электронных рассылок по электронной почте с использованием Phantomecore.greqbackdoor v.2, который поддерживает связь C2 и использует расширенные возможности RAT. Сложность операционной деятельности группы, включая стратегическую координацию доменов и наличие нескольких серверов C2, создает серьезные проблемы для защиты от кибербезопасности.
-----

Phantomcore, хакерская группировка, нацеленная на российские и белорусские организации, за последние годы продемонстрировала последовательную эволюцию в своих методологиях атак и наборах инструментов. Совсем недавно, 5 мая 2025 года, группа использовала тактику рассылки вредоносных электронных рассылок, которые были обнаружены и заблокированы системой защиты деловой электронной почты F6. Эти электронные письма, отправленные со взломанных доменов, содержали вложения, предназначенные для выполнения полезной нагрузки при открытии. Примечательной особенностью было включение исполняемого файла, замаскированного под ZIP-архив. Ранее Phantomcore поставлял подобные вредоносные программы, упакованные в LNK-файлы в ZIP-архивах, но этот новейший подход упростил метод доставки до исполняемого вложения без дополнительных уровней запутывания.

Исполняемый файл с именем "Documents_nu_racons" при запуске инициировал загрузку программы для чтения PDF-файлов вместе с Phantomecore.greqbackdoor v.2, которая взаимодействует с сервером управления (C2), расположенным в 195.58.54.39:80. Эволюция этого вредоносного ПО свидетельствует о продолжающейся разработке Phantomcore проприетарного вредоносного программного обеспечения, которое со временем переходит от методов кражи данных к тактике шифрования с целью получения финансовой выгоды. Примечательно, что Phantomecore.greqbackdoor v.2 представляет собой обновленную версию, которая отражает адаптивный подход группы к использованию новых уязвимостей и совершенствованию своих операционных методологий.

Кроме того, ранее в 2024 году был обнаружен вариант, известный как "Semple Phantomrat", который раскрывает еще один уровень работы Phantomcore. В данном случае вредоносная программа была идентифицирована как дроппер, который использовал дополнительных вредоносных исполнителей, способных к удаленному доступу, называемых STATRAT. Этот RAT позволял обрабатывать команды сервера, выполнять очистку системных данных и управлять скрытыми файловыми операциями. Внедрение механизма таймера позволило осуществлять периодическую связь с инфраструктурой C2, что повысило устойчивость системы на зараженных компьютерах.

Кроме того, координация действий группы при регистрации доменов позволяет предположить наличие сплоченной операционной структуры. Выявление множества связанных серверов C2, связанных с этими атаками, не только подчеркивает их тактическую структуру сети, но и создает постоянные проблемы для защиты кибербезопасности. Учитывая эту сложную инфраструктуру в сочетании с различными вариантами вредоносного ПО, которые они используют, группа Phantomcore, вероятно, продолжит расширять свои возможности, особенно в области разработки эксплойтов и методов обхода, направленных на продление незамеченного присутствия в сетях жертв.

#ParsedReport #CompletenessHigh
04-06-2025

AMOS Variant Distributed Via Clickfix In Spectrum-Themed Dynamic Delivery Campaign By Russian Speaking Hackers

https://www.cloudsek.com/blog/amos-variant-distributed-via-clickfix-in-spectrum-themed-dynamic-delivery-campaign-by-russian-speaking-hackers

Report completeness: High

Threats:
Amos_stealer
Clickfix_technique
Typosquatting_technique

Victims:
Spectrum

Industry:
Telco

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059.004, T1078, T1106, T1548.003, T1555.003, T1562.001, T1566.002

IOCs:
Command: 1
Url: 3
Domain: 4
File: 1
Hash: 1

Soft:
macOS, curl, Linux, sudo, Gatekeeper

Algorithms:
md5

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберкампания использует домены с опечатками для распространения обновленного варианта программы Atomic macOS Stealer (AMOS), предназначенной для пользователей macOS с помощью вредоносного сценария оболочки, который перехватывает системные пароли. Скрипт использует собственные команды macOS для обхода средств контроля безопасности, что подчеркивает риск взлома корпоративных учетных данных и потенциальную возможность дальнейших атак.
-----

Исследователи из CloudSEK выявили сложную киберкампанию с использованием доменов с опечатками, имитирующую Spectrum, телекоммуникационного провайдера в США, для распространения нового варианта Atomic macOS Stealer (AMOS). В этой кампании используется технология, известная как Clickfix, которая обеспечивает индивидуальную загрузку в зависимости от операционной системы жертвы. Примечательно, что пользователи macOS подвергаются атаке с помощью вредоносного сценария оболочки, предназначенного для кражи системных паролей. При выполнении этот скрипт использует собственные команды macOS для перехвата учетных данных, обхода механизмов безопасности и запуска вредоносных двоичных файлов.

Действие кампании включает в себя последовательность действий, в ходе которой жертвам предлагается нажать на "Альтернативную проверку". После нажатия команда копируется в буфер обмена, и появляется запрос, в котором пользователю предлагается немедленно выполнить сценарий оболочки через Bash. Этот скрипт поддерживает цикл запроса пароля, который постоянно запрашивает "Системный пароль" до тех пор, пока не будет введен правильный пароль. Успешная проверка пароля выполняется через службы каталогов macOS, при этом все проверенные пароли сохраняются во временном файле /tmp/.pass.

Русскоязычные комментарии, найденные в исходном коде, указывают на потенциальное участие русскоязычных киберпреступников, что указывает на целенаправленный характер разработки инфраструктуры. Механизмы доставки демонстрируют слабую логику, содержат неточности в инструкциях для пользователей Linux и Windows и включают команды PowerShell для пользовательских агентов Linux. Примечательно, что инструкции типа "Нажмите и удерживайте клавишу Windows + R" вводили в заблуждение как пользователей Windows, так и Mac.

Последствия этой кампании значительны, поскольку сбор паролей пользователей macOS может привести к компрометации корпоративных учетных данных. Злоумышленники, получающие доступ к паролям, могут проникать в корпоративные системы, виртуальные частные сети (VPN) и внутренние ресурсы, облегчая перемещение внутри организаций. Кроме того, способность вредоносного ПО использовать легальные утилиты macOS, такие как dscl, sudo и xattr, для обхода установленных средств контроля безопасности конечных точек снижает эффективность традиционных антивирусных систем или систем реагирования на обнаружение конечных точек (EDR).

Используя полученные учетные данные, злоумышленники могут совершать дальнейшие вредоносные действия, такие как продажа доступа брокерам или инициирование последующих атак, включая внедрение программ-вымогателей и утечку данных. Эта кампания подчеркивает растущую тенденцию к многоплатформенным атакам с использованием социальной инженерии, которые нацелены не только на отдельных пользователей, но и представляют серьезную угрозу для корпоративных структур. Организациям настоятельно рекомендуется проявлять повышенную бдительность в отношении подобных угроз для защиты своей инфраструктуры и конфиденциальной информации.

#ParsedReport #CompletenessLow
04-06-2025

Ransomwareism disguised as an account password crack tool (extension, change to NS1419)

https://asec.ahnlab.com/ko/88335/

Report completeness: Low

Victims:
Security researchers, Hackers, Users looking for crack tools

ChatGPT TTPs:
do not use without manual check
T1110, T1204.002

IOCs:
File: 1
Hash: 1

Soft:
pyinstaller, MacOS, Linux

Crypto:
bitcoin

Algorithms:
aes-256, md5

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вирус-вымогатель маскируется под инструмент для взлома паролей, используя атаки методом перебора на слабые пароли. В комплекте с PyInstaller он работает на нескольких операционных системах и использует доверие пользователей для повышения вероятности заражения.
-----

Аналитический центр безопасности Ahnlab (ASEC) выявил новый вид программ-вымогателей, который маскируется под инструмент для взлома паролей и в основном используется при атаках методом перебора. Метод перебора предполагает систематическое использование всех возможных комбинаций паролей в попытке получить несанкционированный доступ к учетным записям, что делает его особенно эффективным в борьбе со слабыми паролями. Этот метод может быть быстро реализован с помощью автоматизированных средств, что повышает его эффективность.

Программа-вымогатель работает под видом программы для восстановления пароля, что является тактикой, направленной на снижение бдительности пользователей и повышение вероятности заражения. Этот обманный метод распространения использует привычность и надежность, которые пользователи могут приписывать инструментам, часто используемым как исследователями безопасности, так и хакерами. Программа-вымогатель упакована с использованием PyInstaller, фреймворка, который преобразует скрипты Python в автономные исполняемые файлы (например, .exe), позволяя ей функционировать в различных операционных системах, включая Windows, macOS и Linux, не требуя от конечного пользователя установки Python.

Представление вредоносного программного обеспечения как законного средства взлома снижает скептицизм пользователей, поэтому людям необходимо проявлять осторожность при загрузке и установке программного обеспечения. Пользователям рекомендуется избегать использования приложений из непроверенных источников, вместо этого предпочитая устанавливать их с официальных веб-сайтов или авторитетных путей загрузки, чтобы снизить риск стать жертвой таких программ-вымогателей. Это открытие подчеркивает постоянную потребность в повышении осведомленности и совершенствовании методов обеспечения безопасности для борьбы с меняющейся тактикой, используемой киберпреступниками.

#ParsedReport #CompletenessLow
04-06-2025

Spear Phishing in Armenia: Inside a Persistent Campaign by UNC5792

https://cyberhub.am/en/blog/2025/05/31/spear-phishing-in-armenia-inside-a-persistent-campaign-by-unc5792/

Report completeness: Low

Actors/Campaigns:
Unc5792

Threats:
Spear-phishing_technique

Victims:
Individuals, Organizations, Ngo operating in the public interest, Security analyst, Armenian electoral commission

Industry:
Ngo, Government

Geo:
Armenia

ChatGPT TTPs:
do not use without manual check
T1071.001, T1566.002, T1583.001, T1589

IOCs:
Url: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2025 года UNC5792 провел фишинговую кампанию в Армении, используя Signal для заманивания целей на поддельную "информационную платформу", выдавая себя за фиктивного сотрудника Министерства промышленности высоких технологий. Злоумышленники проявили гибкость, часто меняя вредоносные URL-адреса и постоянно отслеживая свои цели, что свидетельствует о высоком уровне изощренности.
-----

В начале марта 2025 года CyberHUB-AM выявил масштабную фишинговую кампанию, направленную против отдельных лиц и организаций в гражданском обществе и государственном секторе Армении. Деятельность приписывается APT-группе, известной как UNC5792, которая ранее была связана со вредоносными действиями, оцененными Mandiant. Нападавшие использовали обманный прием, выдав себя за вымышленное лицо по имени "Армине Погосян", которое предположительно было сотрудником Министерства высокотехнологичной промышленности Армении.

Используя платформу обмена сообщениями Signal, известную своими функциями зашифрованной связи, хакеры пригласили получателей присоединиться к "информационной платформе", предназначенной для предоставления информации о политических событиях в мире и Армении. Этот подход знаменует собой переход к более безопасным каналам связи для попыток фишинга, а не к обычным методам электронной почты. Целью приманки были соответствующие деятели в секторе НПО Армении, инициативы по проведению законодательных реформ и государственные учреждения, что свидетельствовало о намерении собирать разведданные или манипулировать общественными делами.

В кампании использовались крайне вредоносные временные URL-адреса, которые в рамках своей стратегии были изменены с add-group.tech на group-add.com. Эта адаптивность была подчеркнута, когда злоумышленники предоставили новую активную вредоносную ссылку сразу после того, как узнали, что срок действия предыдущей истек, что свидетельствует о постоянном мониторинге их целей и динамическом управлении фишинговой инфраструктурой. Все выявленные домены, связанные с этой кампанией, были классифицированы VirusTotal как особо опасные, и источники из Mandiant и Google Threat Intelligence подтвердили, что они связаны с UNC5792.

#ParsedReport #CompletenessLow
04-06-2025

Malware Masquerades as Legitimate, Hidden WordPress Plugin with Remote Code Execution Capabilities

https://www.wordfence.com/blog/2025/06/malware-masquerades-as-legitimate-hidden-wordpress-plugin-with-remote-code-execution-capabilities/

Report completeness: Low

Victims:
Wordpress users, Website administrators

Industry:
E-commerce

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1078, T1505.003

IOCs:
File: 3

Soft:
WordPress

Algorithms:
base64

Functions:
wp_get_current_user, configure_cloudserver, get_cloudserver_db, custom_reporter_cookie_timer_check, custom_reporter_action, system, AJAX, my_custom_header_banner, my_plugin_enqueue_scripts

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант вредоносного ПО, нацеленный на WordPress, маскируется под легальный плагин, используя методы обфускации и такие возможности, как извлечение пароля и удаленное выполнение кода. Он выполняет команды через AJAX и требует взлома учетной записи администратора для активации, что указывает на зависимость от перехватчиков WordPress.
-----

Команда Wordfence по анализу угроз выявила новый вариант вредоносного ПО, нацеленного на WordPress, предназначенный для маскировки под законный плагин, который, в частности, появляется в каталоге /wp-content/plugins/. Эта вредоносная программа содержит комментарий к заголовку, имитирующий плагин WooCommerce Product Add-ons, который служит для сокрытия ее истинной природы и придания ей достоверного вида, хотя между вредоносной программой и реальным плагином WooCommerce нет никакой связи.

В ходе расследования было обнаружено, что это вредоносное ПО обладает рядом вредоносных возможностей, включая функцию извлечения пароля и механизм удаленного выполнения кода на основе AJAX. Примечательно, что оно использует функцию отражения для выполнения команд, которая улучшает распознавание поведения вредоносного ПО. Вредоносная программа структурирована таким образом, что к ней невозможно получить прямой доступ с помощью обычных средств, таких как страница плагинов, поскольку она выполняет проверку ABSPATH и использует функцию wp_get_current_user() для проверки среды WordPress перед выполнением своих вредоносных действий.

Более того, было обнаружено, что вредоносная программа вызывает системную команду с помощью post-запроса, что позволяет выполнять несанкционированное выполнение команды. Также имеется неполная функция, указывающая на продолжающуюся работу по разработке, что позволяет предположить, что хакеры, возможно, активно совершенствуют свои возможности. Кроме того, во время того же сеанса анализа был обнаружен второй образец вредоносного ПО, который использует аналогичную тактику обхода, но, по-видимому, менее полон по своей функциональности.

Наиболее вероятной причиной распространения этой вредоносной программы является взлом учетной записи администратора, поскольку для запуска кода требуется активация плагина, что указывает на зависимость от предоставленных в WordPress перехватчиков. К сожалению, отсутствие логов во время расследования ограничивало возможность подтверждения конкретных методов проникновения. Чтобы помочь в противодействии этим новым угрозам, Wordfence выпустила сигнатуры для обнаружения этого вредоносного ПО для пользователей премиум-класса, а для бесплатных пользователей запуск был запланирован на месяц позже. Вскоре после этого было введено правило брандмауэра для повышения безопасности пользователей премиум-класса. Эволюционирующий характер вредоносного ПО указывает на необходимость постоянной бдительности и обновления мер защиты от таких изощренных атак.

#ParsedReport #CompletenessMedium
05-06-2025

DragonForce: The Ransomware Cartel Guarding Its Burrow

https://www.bitdefender.com/en-us/blog/businessinsights/dragonforce-ransomware-cartel

Report completeness: Medium

Actors/Campaigns:
Dragonforce (motivation: hacktivism, financially_motivated)

Threats:
Dragonforce_ransomware
Ransomhub
Conti
Blackcat
Mamona
Akira_ransomware
Lockbit
Dll_hijacking_technique
Timestomp_technique
Simplehelp_tool

Industry:
Education, Retail, Healthcare

Geo:
Russians, Australia, Italy, Russia, Russian

CVEs:
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1809 (<10.0.17763.5458)
- microsoft windows 10 21h2 (<10.0.19044.4046)
- microsoft windows 10 22h2 (<10.0.19045.4046)
- microsoft windows 11 21h2 (<10.0.22000.2777)
- microsoft windows 11 22h2 (<10.0.22621.3155)
have more...

TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 4
Hash: 8

Soft:
Linux, ESXi

Languages:
powershell