#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Skitnet, сложное средство для вымогательства, разработанное хакером LARVA-306, включает в себя многоэтапный процесс заражения и использует возможности автоматизированного развертывания и защиты от криминалистической экспертизы. В нем используется загрузчик на базе Rust для создания обратной оболочки на основе DNS для связи C2, что позволяет киберпреступникам выполнять различные действия после использования, избегая обнаружения. Организациям рекомендуется применять многоуровневые меры безопасности и отслеживать трафик DNS, чтобы снизить риски, связанные с Skitnet.
-----

Skitnet, также известный как Bossnet, стал серьезной угрозой для вымогателей в 2025 году. Разработанный хакером LARVA-306, он был представлен на подпольных форумах, таких как RAMP, в апреле 2024 года. Вредоносная программа включает в себя серверную панель управления, что облегчает ее использование киберпреступниками различного уровня квалификации. Она обеспечивает автоматизированное развертывание и обладает возможностями защиты от криминалистической экспертизы для удаления журналов и истории команд.

Такие группы программ-вымогателей, как Black Basta и Cactus, использовали Skitnet в фишинговых кампаниях, нацеленных на команды Microsoft, к апрелю 2025 года. В нем используется многоэтапный процесс заражения с использованием фишинговых или скомпрометированных учетных данных для первоначального доступа. Skitnet оснащен загрузчиком на основе Rust, который расшифровывает и выполняет двоичный файл Nim в памяти, создавая скрытую обратную оболочку на основе DNS для обмена командами и контролем.

Функциональные возможности вредоносной программы включают в себя захват скриншотов, установку средств удаленного доступа, извлечение конфиденциальных данных и поддержание постоянства с помощью таких методов, как перехват библиотек DLL и скриптов PowerShell. Skitnet разработан с использованием скрытых механизмов, использует менее распространенные языки программирования, выполнение в памяти и динамическое разрешение API.

Кража данных Skitnet перед внедрением программы-вымогателя соответствует тактике двойного вымогательства. Ее доступность на подпольных форумах упрощает ее использование хакерами, не требуя обширных технических навыков. Рекомендуемые средства защиты включают мониторинг трафика DNS, решения для обнаружения конечных точек и реагирования на них, ограничение привилегий PowerShell, регулярное управление исправлениями, обучение навыкам борьбы с фишингом и внедрение архитектуры нулевого доверия.

#ParsedReport #CompletenessMedium
10-06-2025

Two Botnets, One Flaw: Mirai Spreads Through Wazuh Vulnerability

https://www.akamai.com/blog/security-research/2025/jun/botnets-flaw-mirai-spreads-through-wazuh-vulnerability

Report completeness: Medium

Threats:
Mirai
Resbot_botnet
Vega_locker

Victims:
Wazuh users, Iot device owners

Industry:
Iot

Geo:
Italian

CVEs:
CVE-2017-18368 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- billion 5200w-t firmware (7.3.8.0)

CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532 firmware (-)

CVE-2023-1389 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tp-link archer ax21 firmware (<1.1.4)

CVE-2025-24016 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1036.005, T1046, T1059.006, T1071.001, T1078, T1095, T1105, T1133, T1190, T1210, have more...

IOCs:
Url: 18
File: 10
IP: 10
Domain: 15
Hash: 15

Soft:
Burp Suite, curl, Hadoop, ZyXEL

Algorithms:
sha256, md5, deflate, gzip, base64

Languages:
python

Platforms:
mpsl, x64, arm, m68k, x86, mips

Links:
have more...
https://github.com/MuhammadWaseem29/CVE-2025-24016
https://github.com/stasinopoulos/ZTExploit/blob/master/ZTExploit\_Source/ztexploit.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE-2025-24016 RCE в серверах Wazuh активно используется двумя ботнетами под названием "Resbot" и "resgod", которые распространяют варианты Mirai, такие как "morte", и нацелены на устройства Интернета вещей. Атаки используют известные уязвимости и требуют срочного обновления до версии Wazuh 4.9.1 или выше.
-----

Активная эксплуатация уязвимости удаленного выполнения кода (RCE) CVE-2025-24016 на серверах Wazuh была связана с двумя отдельными ботнетами, участвующими в распространении вариантов вредоносного ПО Mirai. Эта критическая уязвимость (CVSS 9.9), раскрытая в феврале 2025 года, затрагивает Wazuh версий с 4.4.0 по 4.9.0 и позволяет злоумышленникам выполнять произвольный код, загружая вредоносно созданный JSON-файл через децентрализованные запросы API (DAPI). Группа разведки и реагирования Akamai Security (SIRT) выявила попытки взлома еще в марте 2025 года, что стало первым сообщением об активных угрозах с момента раскрытия.

При эксплуатации используется несколько известных уязвимостей, включая, среди прочего, CVE-2023-1389 и CVE-2017-17215. Злоумышленники получают доступ через API Wazuh, в частности, используя конечную точку run_as, которая позволяет им управлять аргументом auth_context. Проверка работоспособности концепции продемонстрировала это, используя заголовок авторизации в кодировке Base64 для выполнения произвольного кода на Python, подчеркнув опасность уязвимости для активных серверов Wazuh.

Первый ботнет, получивший название "Resbot", продемонстрировал подключение к доменам с итальянскими именами, что позволяет предположить, что он нацелен на италоязычных пользователей. Этот ботнет использует уязвимость RCE для получения и выполнения вредоносного сценария оболочки, что приводит к распространению полезной нагрузки Mirai, идентифицированной как "morte". Эти образцы вредоносных программ, входящие в семейство вариантов LZRD, обеспечивают поддержку нескольких архитектур, в первую очередь предназначенных для устройств Интернета вещей. Расследования связали операции этого ботнета с различными доменами управления (C2) и их разрешающими IP-адресами, выявив множество связанных с ними вредоносных программ, включая троян удаленного доступа на базе Windows (RAT), замаскированный под законный процесс.

Второй идентифицированный ботнет начал свою кампанию с использованием сервиса Wazuh в мае 2025 года, с аналогичными характеристиками, как и первый, используя вредоносный сценарий оболочки для распространения Mirai. Эта вредоносная программа, получившая название "resgod", также нацелена на устройства Интернета вещей и отличается наличием доменов на итальянском языке, что усиливает потенциальную географическую направленность атаки. Она продемонстрировала поведение при сканировании на наличие уязвимостей, в частности, с использованием FTP и Telnet.

Продолжающаяся эксплуатация CVE-2025-24016 подчеркивает настоятельную необходимость оперативного применения исправлений организациями, в частности, обновления до версии Wazuh 4.9.1 или более поздней для снижения потенциальных рисков. Наблюдаемая быстрая адаптация ботнетов к недавно обнаруженным уязвимостям служит суровым напоминанием о сохраняющихся угрозах, создаваемых слабыми системами безопасности, и о важности регулярного обновления программных систем.

#ParsedReport #CompletenessLow
10-06-2025

Analysis of the last wave of Mirai Botnet attacks on TBK DVR devices with a vulnerability CVE-2024-3721

https://securelist.ru/mirai-botnet-variant-targets-dvr-devices-with-cve-2024-3721/112862/

Report completeness: Low

Threats:
Mirai
Bashlite

Industry:
Iot

Geo:
India, Egypt, China, Ukraine, Turkey, Brazil, Russia

CVEs:
CVE-2024-3721 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1059.004, T1082, T1190, T1496, T1518, T1587.001

IOCs:
Hash: 17
IP: 11

Soft:
Linux, Qemu

Algorithms:
rc4, xor

Platforms:
arm

Links:
https://github.com/netsecfish/tbk\_dvr\_command\_injection

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры внедряют ботов, появляющихся из ботнета Mirai, для использования уязвимостей, таких как CVE-2024-3721, позволяющих удаленно выполнять код на устройствах TBK DVR. Этот бот нацелен на широко используемые системы наблюдения IoT и использует передовые методы обхода, в то время как тысячи устройств остаются уязвимыми. Оперативное обновление встроенного ПО и сброс настроек к заводским имеют жизненно важное значение для защиты от подобных угроз.
-----

Недавние наблюдения в hacker intelligence указывают на распространенность внедрения ботов, нацеленных на уязвимые системы, особенно с хорошо известными пробелами в системе безопасности. хакеры используют автоматизированных ботов, которые постоянно сканируют Интернет на наличие этих уязвимостей, часто нацеливаясь на HTTP-сервисы с помощью эксплойтов, способных обеспечить удаленное выполнение кода (RCE). Примечательно, что были попытки использовать уязвимость CVE-2024-3721, которая позволяет злоумышленникам внедрять бота на такие устройства, как видеорегистраторы TBK, посредством несанкционированного POST-запроса, содержащего вредоносный shell-скрипт. Этот бот, идентифицированный как модифицированная версия печально известного ботнета Mirai, специально предназначен для систем видеонаблюдения DVR, которые широко используются для записи видео и удаленного управления.

Анализ логов системы honeypot выявил специфическую строку запроса, связанную с CVE-2024-3721. Эта уязвимость позволяет выполнять системные команды на взломанных устройствах TBK DVR без надлежащей авторизации, что представляет значительный риск. Вредоносная команда, встроенная в POST-запрос, загружает и выполняет двоичный файл, предназначенный для архитектуры ARM32, облегчая работу бота на скомпрометированном устройстве.

Исходный код ботнета Mirai, впервые обнародованный почти десять лет назад, с тех пор подвергся многочисленным модификациям со стороны различных киберпреступников, что привело к созданию обширных ботнетов, ориентированных на распределенные атаки типа "Отказ в обслуживании" (DDoS). Текущая версия, заражающая устройства DVR, включает в себя расширенные функции, такие как шифрование RC4 для обфускации строк, и проверяет, запущен ли бот в виртуальной среде, в частности, ищет признаки VMware или Qemu. Это достигается путем доступа к файловой системе "/proc" в Linux для проверки ее операционной среды.

Данные телеметрии указывают на то, что значительное количество зараженных устройств находится в таких странах, как Китай, Индия, Египет, Украина, Россия, Турция и Бразилия. Хотя количественная оценка общего числа уязвимых и скомпрометированных устройств во всем мире сопряжена с трудностями, с помощью аналитических данных с открытым исходным кодом было идентифицировано более 50 000 уязвимых видеорегистраторов, что свидетельствует о значительной уязвимости для атак.

Продолжающееся использование выявленных уязвимостей в устройствах Интернета вещей (IoT) и серверах на базе Linux остается серьезной проблемой, поскольку многочисленные боты предназначены для выявления и устранения этих уязвимостей. Хотя многие из этих ботов перестают работать после перезагрузки устройства из-за ограничений встроенного ПО, которые ограничивают внесение изменений в файловую систему, своевременное обновление встроенного ПО и сброс настроек к заводским для уязвимых устройств являются важными профилактическими мерами. Решения для обеспечения безопасности, такие как "Лаборатория Касперского", идентифицируют эти угрозы под обозначениями HEUR:Backdoor.Linux.Mirai и HEUR:Backdoor.Linux.Gafgyt, подчеркивая необходимость повышенной бдительности в отношении таких хакеров.

#ParsedReport #CompletenessLow
09-06-2025

DanaBleed: DanaBot C2 Server Memory Leak Bug

https://www.zscaler.com/blogs/security-research/danableed-danabot-c2-server-memory-leak-bug

Report completeness: Low

Threats:
Danableed_vuln
Danabot
Supply_chain_technique

Victims:
Ukrainian ministry of defense

Industry:
Financial

Geo:
Ukrainian, Russian

ChatGPT TTPs:
do not use without manual check
T1041, T1056.001, T1071.001, T1083, T1090, T1555, T1565.001, T1587.002

IOCs:
Hash: 2

Algorithms:
sha256, md5

Languages:
delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DanaBot, с 2018 года выпускающий вредоносное ПО как услугу, занимается кражей учетных данных и банковским мошенничеством, что оказывает значительное влияние на киберпреступность, включая нацеливание на NPM и DDoS-атаку во время вторжения в 2022 году. Уязвимость "DanaBleed", появившаяся в 2022 году, привела к утечке конфиденциальных данных с сервера C2 из-за утечки памяти, что позволило получить представление о работе DanaBot до 2025 года. Обновленный протокол C2 также предоставил доступ к неинициализированной памяти, раскрывая дополнительные детали работы.
-----

DanaBot - это платформа Malware-as-a-Service (MaaS), которая работает с 2018 года и занимается такими видами деятельности, как кража учетных данных и банковское мошенничество, используя партнерскую модель. Хакер, стоящий за DanaBot, управляет разработкой вредоносного ПО, инфраструктурой управления (C2) и оперативной поддержкой филиалов, распространяющих вредоносное ПО. Компания DanaBot была связана со значительными киберпреступлениями, включая атаку на популярные пакеты NPM по цепочке поставок и DDoS-атаку на Министерство обороны Украины во время российского вторжения в 2022 году. В мае 2025 года усилия правоохранительных органов, известные как операция "Эндшпиль", привели к демонтажу инфраструктуры DanaBot и предъявлению обвинений 16 лицам, связанным с этой группой.

Критическая техническая ошибка, связанная с DanaBot, называемая "DanaBleed", выявилась после выхода версии 2380 в июне 2022 года. В этой версии произошла утечка памяти на сервере C2, аналогичная по своей природе хорошо известной уязвимости Heartbleed, обнаруженной в 2014 году. Программная ошибка привела к утечке до 1792 байт оперативной памяти сервера в ответах, отправленных жертвам взлома. Утечка данных включала конфиденциальную информацию, такую как имена пользователей, IP-адреса хакеров, сведения о внутреннем сервере C2, статистику утечки, личные криптографические ключи, IP-адреса жертв и учетные данные. Уязвимость сохранялась до начала 2025 года, предоставляя исследователям, таким как ThreatLabZ, беспрецедентный доступ к внутренним операциям DanaBot.

Протокол C2, используемый DanaBot, претерпел значительные изменения с момента появления проблемы утечки памяти. До обновления структура команд была простой и включала в себя генерацию командных данных, их шифрование и отправку данных. Новый протокол C2 добавил сложности, включив дополнительные байты, которые не были должным образом инициализированы, что привело к доступу к неинициализированной памяти, содержащей конфиденциальные рабочие данные. Эта непреднамеренная оплошность позволила восстановить различные инструкции SQL, серверные журналы, результаты отладки и фрагменты HTML с сервера C2, что еще больше прояснило инфраструктуру и процессы DanaBot.

#ParsedReport #CompletenessMedium
09-06-2025

Analysis of DISGOMOJI variant attack activity of APT-C-56 (Transparent Tribe) against Linux system

https://www.ctfiot.com/253976.html

Report completeness: Medium

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Disgomoji
Crimson_rat
Poseidon
Meshagent_tool

Victims:
Military, Government personnel

Industry:
Government, Military

Geo:
Pakistan, Asia, Indian, India

ChatGPT TTPs:
do not use without manual check
T1027, T1059.004, T1071.003, T1105, T1204.002, T1219, T1547.004, T1566.001, T1567.002

IOCs:
File: 6
Hash: 11
Url: 12

Soft:
Linux, curl, udo ja, Discord, WeChat

Algorithms:
md5, rc4, aes, zip

Languages:
golang, java

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа APT-C-56 из Южной Азии использует социальную инженерию и атаки harpoon, распространяя вредоносные программы, такие как CrimsonRAT и вариант DISGOMOJI, через Google Диск. Теперь их тактика включает в себя использование Google Cloud для сбора данных и методов сохранения данных в системах Linux, нацеленных на индийских военных и правительственный персонал.
-----

APT-C-56, также известная как Transparent Tribe, APT36, projectM или C-Major, - это изощренная хакерская группировка из Южной Азии, которая в первую очередь нацелена на Индию и соседние с ней страны. Группа преуспела в социальной инженерии и кибератаках в стиле harpoon, используя различные возможности по загрузке полезной нагрузки и технологии кроссплатформенных атак. Они разработали троянские программы CrimsonRAT, специально предназначенные для систем Windows, и используют различные инструменты, которые включают компоненты Poseidon для работы в системах Linux.

Недавно в отчете 360 Advanced Threat Research Institute было подробно описано использование группой вредоносного ПО, поставляемого с помощью исполняемого файла ELF, написанного на языке Golang. Это вредоносное ПО распространяется через Google Диск и взаимодействует с облачной платформой Google для фильтрации данных. В ходе этой атаки пользователей заманивают к использованию файла с обманчивым названием "пароль", который якобы открывает доступ к документу-приманке. При запуске этот файл запускает загрузку дешифратора, а также файла данных конфигурации и jar-файла, которые играют важную роль в процессе выполнения вредоносной программы. Дешифратор обрабатывает преобразование конфигурационного файла в исполняемый файл ELF, в то время как jar-файл облегчает загрузку дополнительных вредоносных компонентов.

Промежуточный исполняемый файл, сгенерированный исходным файлом, обеспечивает сохранение в зараженной системе путем автономной загрузки и расшифровки файла конфигурации. Этот файл, идентифицированный как вариант вредоносной программы DISGOMOJI, устанавливает связь с облачными сервисами Google для загрузки данных. Кроме того, последовательность атаки включает загрузку шпионского плагина для браузера и средства удаленного управления MeshAgent для постоянного наблюдения и контроля за устройством жертвы.

Стратегия APT-C-56 включает запись конфигураций в ".bashrc" для облегчения загрузки и выполнения полезной нагрузки с Google Диска с помощью команды "java -jar". Вредоносная программа также использует облачную платформу Google в качестве инфраструктуры управления (C2), используя информацию о ключе учетной записи сервиса для целей аутентификации. Эта тактика не только подчеркивает предпочтение группы менее заметным методам доставки полезной нагрузки через облачные сервисы, но и иллюстрирует эволюцию их тактики, методов и процедур (TTP) с уделением большего внимания системам Linux, которые преобладают среди их основных целей — индийских военных и правительственных служащих. Кроме того, обновления в версии DISGOMOJI отражают переход от предыдущих методов коммуникации, таких как Discord, к более интегрированным и потенциально менее обнаруживаемым облачным сервисам Google.

#ParsedReport #CompletenessLow
11-06-2025

The Evolution of Linux Binaries in Targeted Cloud Operations

https://unit42.paloaltonetworks.com/elf-based-malware-targets-cloud/

Report completeness: Low

Actors/Campaigns:
Winnti
Nuclear_taurus
Cloud_snooper (motivation: cyber_criminal, cyber_espionage)
Daggerfly
Sandworm

Threats:
Nood_rat
Tinyshell
Rekoobe_rootkit
Sshdinjector
Pygmy_goat
Acidpour
Acidrain
Dynamic_linker_hijacking_technique

Victims:
Entities, Organizations, Individuals, Government agencies, Suppliers, Non-governmental organizations, Healthcare entities, Transportation sector entities, Government institutions, Telecommunications organizations, have more...

Industry:
Healthcare, Ngo, Government, Transport, Telco

Geo:
China, Asia-pacific, Asia, Thailand, Japan, Australia, Taiwan, Middle east, India, Malaysia, Russian

CVEs:
CVE-2022-1040 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos sfos (le18.5.3)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.004, T1053.003, T1055.001, T1059.001, T1059.004, T1059.005, T1078, T1090.002, T1204.002, have more...

Soft:
Linux

Languages:
visual_basic, powershell

Platforms:
x86, mips

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NoodleRAT - это вредоносная программа-бэкдор, нацеленная на Windows и Linux, связанная с китайскими хакерами и использующая исполняемые файлы ELF. Растущая распространенность вредоносного ПО ELF в облачных инфраструктурах создает значительные риски, поскольку для скрытого управления используются такие методы, как перехват динамического компоновщика, а также уязвимости, такие как CVE-2022-1040. AcidRain и AcidPour - это разновидности вредоносных программ wiper, которые связаны с российскими субъектами и воздействуют на различные системы, включая облачные среды.
-----

NoodleRAT, бэкдор, имеющий варианты как для Windows, так и для Linux, известен своей версией Linux на базе ELF. Хотя его дизайн имеет сходство с другими вредоносными программами для бэкдоров Linux, такими как Rekoobe и Tiny SHell, он был классифицирован как уникальное семейство вредоносных программ. Linux-версия NoodleRAT была связана с китайскими хакерами, включая Starchy Taurus group (также известную как Winnti Group и BARIUM) и Nuclear Taurus. Вредоносная программа работает с помощью двух основных компонентов: основного исполняемого файла ELF (libxselinux) и динамической библиотеки (libxselinux.so).

Исследователи Unit 42 заметили тревожную тенденцию в области облачной безопасности, когда хакеры все чаще используют файлы ELF для атаки на облачную инфраструктуру. Эти двоичные файлы ELF содержат целый ряд типов вредоносных программ, включая бэкдоры, дропперы, трояны удаленного доступа (RAT) и деструктивные инструменты. Недавние исследования выявили пять основных семейств вредоносных программ на базе ELF, которые демонстрируют значительные обновления, что указывает на активное использование в облачных средах, на долю которых приходится значительная часть облачной инфраструктуры, основанной на версиях ОС Linux.

Эволюция вредоносного ПО ELF создает уникальные проблемы, поскольку злоумышленники могут легко воспользоваться широко распространенным использованием Linux в облачных операциях. Эта адаптивность позволяет им внедрять такие хорошо зарекомендовавшие себя семейства, как NoodleRAT и другие, такие как Winnti, SSHdInjector, Pygmy Goat и AcidPour. Эти вредоносные программы обычно используют динамический взлом компоновщика, используя переменную среды LD_PRELOAD для внедрения вредоносного кода в законные процессы и получения критически важного доступа к службам Linux, таким как SSH. Этот метод помогает поддерживать скрытые каналы управления (C2), обеспечивает постоянство и облегчает эксфильтрацию или уничтожение данных.

Среди них SSHdInjector не только обеспечивает постоянный доступ, ориентируясь на SSH-демона, но и связан с участниками APT, участвующими в кибершпионаже. Другой пример, Pygmy Goat, использует руткит-механизм в сочетании с использованием уязвимостей (например, CVE-2022-1040) для эффективного управления SSH-коммуникациями. Его связь может осуществляться с помощью специализированных ICMP-пакетов, что расширяет возможности скрытой работы.

Кроме того, AcidRain и его производная, AcidPour, представляют собой вредоносное ПО для Linux wiper, связанное с российским хакером, уничтожившим Ursa. AcidRain нацелен на устройства с архитектурой MIPS, в то время как AcidPour разработан для систем x86, воздействуя на более широкий спектр целей, включая облачные системы, посредством самоуничтожения после атаки.

#ParsedReport #CompletenessHigh
11-06-2025

Proactive OT security: Lessons on supply chain risk management from a rogue Raspberry Pi

https://www.darktrace.com/blog/proactive-ot-security-lessons-on-supply-chain-risk-management-from-a-rogue-raspberry-pi

Report completeness: High

Actors/Campaigns:
Fancy_bear (motivation: cyber_criminal)
Muddywater (motivation: cyber_criminal)

Threats:
Supply_chain_technique
Watering_hole_technique
Havex_rat
Teamviewer_tool
Lolbin_technique
Mitm_technique
Clickfix_technique
Aitm_technique
Spear-phishing_technique
Fakecaptcha_technique
Xworm_rat
Lumma_stealer
Asyncrat

Victims:
National health service, Semiconductor manufacturer

Industry:
Ics, Critical_infrastructure, Transport, Entertainment, Energy, Government, Foodtech, Semiconductor_industry, Healthcare

Geo:
Russia, Africa, Iran, Middle east, Emea

TTPs:
Tactics: 1
Technics: 12

IOCs:
IP: 12
Domain: 3
Hash: 2

Soft:
Raspberry Pi

Algorithms:
sha1, sha256

Languages:
swift, php, powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сети ICS было обнаружено вредоносное устройство Raspberry Pi, что выявило уязвимости в цепочке поставок. Злоумышленники теперь чаще используют внутренние уязвимости, используя передовые методы, такие как ClickFix, для утечки данных, которые часто поддерживаются такими группами, как APT28 и MuddyWater. Организациям необходимо укреплять свои стратегии кибербезопасности, чтобы противостоять как внутренним, так и внешним угрозам.
-----

Поставщик оставил вредоносное устройство Raspberry Pi в сети ICS клиента, что выявило уязвимости в цепочке поставок. Исторические инциденты, связанные со взломом программного обеспечения для обслуживания, такие как атака на Havex Watering Hole в 2014 году и взлом полупроводниковой системы в 2018 году, демонстрируют риски для ICS. Злоумышленники все чаще используют внутренние уязвимости в средах ICS, а не полагаются исключительно на внешние угрозы. Устройства Raspberry Pi создают проблемы безопасности в системах SCADA, поскольку они используются для атак через USB и утечки данных. Анализ Darktrace выявил потенциальные риски, связанные с неправильными метаданными в зашифрованных соединениях, связанных с этими устройствами. Инцидент с TeamViewer в 2021 году продемонстрировал опасность бездействующих приложений в критически важной инфраструктуре. Производственные отрасли становятся все более уязвимыми из-за их способности к сбоям, что требует более строгого соблюдения требований и обеспечения безопасности в рамках таких инициатив, как Директива ЕС NIS2. Законопроект о кибербезопасности и отказоустойчивости в Великобритании направлен на модернизацию правил кибербезопасности, расширяя надзор за поставщиками услуг связи и центрами обработки данных. Использование ClickFix - это продвинутый метод борьбы с угрозами, который использует социальную инженерию для манипулирования пользователями с целью выполнения вредоносного кода. хакеры, такие как APT28 и MuddyWater, используют тактику ClickFix, обычно начиная с фишинга или поддельных запросов на ввод капчи, которые приводят к вредоносным командам PowerShell. Расследования показали, что атаки с использованием ClickFix часто приводят к перемещению по сетям и взаимодействию с серверами C2, что усиливает уровень угроз. Организации должны адаптировать стратегии кибербезопасности для снижения рисков, связанных как с новыми внутренними угрозами, так и с угрозами цепочки поставок.

#ParsedReport #CompletenessMedium
11-06-2025

APT PROFILE MISSION2025

https://www.cyfirma.com/research/apt-profile-mission2025/

Report completeness: Medium

Actors/Campaigns:
Winnti (motivation: cyber_espionage, financially_motivated)
Axiom
Brazenbamboo
Sparklinggoblin
Unc5221

Threats:
Mana_tool
Passcv
Lowkey
Gh0st_rat
Meterpreter_tool
Blackcoffee
Messagetap_tool
Crackshot_tool
Easynight
Derusbi
Hdroot
Frontwheel
X-door
Aspxspy_shell
Dirtcleaner
Hkdoor
Credential_stealing_technique
Biopass_rat
Cobalt_strike_tool
Acehash
Highnote
Plugx_rat
Pwdump_tool
Poisonplug
Lifeboat
Mimikatz_tool
Potroast
Jumpall
Widetone
Chinachopper
Redxor_backdoor
Zxshell
Coldjava
Crosswalk
Ntdsdump
Rockboot
Winterlove
Deadeye
Pipemon
Tidyelf
Shadowpad
Highnoon
Latelunch
Sagehire
Deepdata
Speculoos
Privatelog
Cunningpigeon
Shadowgaze
Njrat
Windjammer
Unapimon
Deathlotus
Moonbounce
Winnkit
Wyrmspy
Toughprogress
Dragonegg
Dustpan
Lightspy
Spear-phishing_technique
Sliver_c2_tool
Krustyloader
Voldemort
Dusttrap
Plusdrop
Plusinject
Process_injection_technique
Process_hollowing_technique
Dllsearchorder_hijacking_technique
Dynamic_linker_hijacking_technique
Dll_sideloading_technique

Victims:
Over 40 industries, Government entities, Critical infrastructure, High-level government departments

Industry:
Telco, Critical_infrastructure, Transport, Government

Geo:
China, Chinese, Taiwan, Japan, India, Asian, Asia

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0 firmware (<2.7.0)

CVE-2025-4428 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint manager mobile (<11.12.0.5, <12.3.0.2, <12.4.0.2, 12.5.0.0)

CVE-2017-0147 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1511 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 7 (-)
- microsoft windows 8.1 (-)
have more...
CVE-2025-4427 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint manager mobile (<11.12.0.5, <12.3.0.2, <12.4.0.2, 12.5.0.0)

CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 5
Technics: 25

IOCs:
File: 3

Soft:
Ivanti EPMM, Ivanti, InfinityFree, TryCloudflare, Windows Service

Algorithms:
zip

Win Services:
BITS

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4