#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянец Pickai использует уязвимости в ComfyUI для кражи данных искусственного интеллекта и выполнения удаленных команд. Он обладает надежными методами маскировки, сохраняемостью через системные службы и взаимодействует с несколькими серверами C2 для получения инструкций, что затрудняет обнаружение.
-----

В статье рассматривается недавно обнаруженный троян-бэкдор под названием Pickai, также известный как AI pickpocket, который использует уязвимости в ComfyUI. Он распространяется через, казалось бы, безобидные конфигурационные файлы, такие как настройки JSON и TMUX, и характеризуется возможностью кражи конфиденциальных данных искусственного интеллекта. Разработанный на C++, Pickai предназначен для удаленного выполнения команд и установки оболочек восстановления, демонстрируя надежные функции маскировки и сохранения. Он использует методы защиты от отладки и маскировки процессов, используя различные механизмы для сохранения на скомпрометированных хостах.

Pickai взаимодействует с несколькими серверами управления (C2), встроенными в его код, что обеспечивает избыточность, которая помогает поддерживать управление, даже если некоторые серверы становятся неактивными. В ходе обратного анализа было установлено, что домен C2 h67t48ehfth8e.com изначально был незарегистрирован, но позже был приобретен исследователями в области безопасности, что позволило раскрыть подробности активности вредоносного ПО, включая статистику заражения, указывающую на почти 700 скомпрометированных серверов по всему миру, в основном в Германии, Соединенных Штатах и Китае.

Анализ также выявил хронологию активности Pickai. Как и другие вредоносные программы, он подвергся обновлениям, причем одна из версий использует сервер C2 с номером 78.47.151.49. Охранная компания XLab попыталась уведомить Rubick.ai платформу, на которой предположительно размещалась вредоносная программа, но ответа не получила. В мае 2025, было обнаружено, что образцы Pickai причинно связанные с развивающимся риск нападение на сеть снабжения, учитывая Рубик.обширная клиентская база ИИ в электронной коммерции.

Технические подробности указывают на то, что после запуска Pickai расшифровывает свои строки конфигурации, чтобы установить связь C2 и реализовать механизмы сохранения. Примечательно, что он использует службы init.d и systemd в Linux для обеспечения надежной работы в системах. Стратегия сохранения данных Pickai предполагает дублирование по нескольким путям к файлам и привязку измененных временных меток к легитимным системным двоичным файлам, что снижает затраты на обнаружение.

Кроме того, цикл взаимодействия вредоносного ПО включает регулярные проверки на серверах C2 по точному расписанию, включая предоставление информации об устройстве каждые 20 минут и подключение для получения дальнейших инструкций каждые две минуты. Это постоянство отражается в тщательной разработке коммуникационных протоколов, которые усложняют обнаружение за счет создания различных названий процессов и активных подключений к нескольким C2s.

# technique

dark-kill
A user-mode code and its rootkit that will Kill EDR Processes permanently by leveraging the power of Process Creation Blocking Kernel Callback Routine registering and ZwTerminateProcess.

https://github.com/SaadAhla/dark-kill

FYI

Apache Kafka 客户端：任意文件读取和 SSRF 漏洞 POC
https://github.com/kk12-30/CVE-2025-27817
#poc #github #漏洞情报

#ParsedReport #CompletenessLow
12-06-2025

Call Stacks: No More Free Passes ForMalware

https://www.elastic.co/security-labs/call-stacks-no-more-free-passes-for-malware

Report completeness: Low

Threats:
Silentmoonwalk_technique

ChatGPT TTPs:
do not use without manual check
T1036, T1055.002, T1055.004, T1106, T1129, T1546.010, T1562.001, T1620

IOCs:
File: 14
Hash: 3

Soft:
Event Tracing for Windows, Windows Error Reporting

Algorithms:
sha256

Functions:
Win32StartAddress, Native, Get-InjectedThreadEx, Windows

Win API:
VirtualProtect, RtlUserThreadStart, RtlUserFiberStart

Platforms:
x64, intel

Links:
https://github.com/jdu2600/conference\_talks/blob/main/2022-04-csidescbr-StackWalking.pdf
have more...
https://github.com/elastic/protections-artifacts/blob/3537aa4ed9c7ed9dcd04da2efafbad38af47a017/behavior/rules/windows/defense\_evasion\_virtualprotect\_via\_vectored\_exception\_handling.toml
https://github.com/search?q=repo%3Aelastic%2Fprotections-artifacts+call\_stack\_final\_user\_module&type=code

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ стека вызовов улучшает обнаружение вредоносных программ в Windows, выявляя пути выполнения и источники действий, улучшая идентификацию вредоносного поведения. Злоумышленники используют неоднозначность выполнения процессов, чтобы избежать обнаружения, манипулируя API и структурами для сокрытия своих действий. Такое тщательное изучение аномалий стека вызовов помогает отличить законное поведение от вредоносного, способствуя более эффективным стратегиям обнаружения возникающих угроз.
-----

Стеки вызовов при обнаружении вредоносных программ позволяют получить представление о путях выполнения в системах Windows, улучшая идентификацию вредоносного поведения. Разработчики вредоносных программ используют такие методы, как фреймы стека trampoline, чтобы скрыть свои действия. Эффективное обнаружение преобразует адреса памяти в смещения для лучшей ситуационной осведомленности. Обычные стеки вызовов обычно начинаются с ntdll.dll, за которыми следует kernel32.dll, завершаясь пользовательским модулем. Аномалии в этом потоке могут указывать на вредоносную активность. Elastic анализирует конечную информацию о пользовательском модуле, включая хэши и сигнатуры, для оценки нормальности поведения. Компоненты начального стека, такие как LdrInitializeThunk, имеют решающее значение, поскольку они предоставляют вредоносному ПО возможность запуска до обнаружения. Функции обработки исключений в пользовательском режиме могут быть использованы вредоносным ПО для уклонения от обнаружения. Механизмы обратного вызова ядра могут указывать на потенциальный захват потока. Тщательная проверка стеков вызовов выявляет методы уклонения, такие как подмена адреса возврата, и помогает установить базовые параметры поведения легитимных приложений, что затрудняет маскировку вредоносных программ. Постоянное совершенствование анализа стека вызовов позволяет разрабатывать стратегии обнаружения в соответствии с меняющейся тактикой вредоносных программ.

#ParsedReport #CompletenessLow
12-06-2025

June 2025 Patch Tuesday Fixes 67 Flaws & 2 Zero-Days; Critical Ivanti IWC Updates

https://socradar.io/june-2025-patch-tuesday-fixes-67-flaws-2-zero-days/

Report completeness: Low

Actors/Campaigns:
Stealth_falcon

Threats:
Spear-phishing_technique
Lolbin_technique
Horus_agent
Mythic_c2

Victims:
Defense contractor

Industry:
Government

Geo:
Turkey, Middle east, Africa

CVEs:
CVE-2025-29828 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-33070 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-47167 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-47162 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-33071 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32710 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32714 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-22463 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-47164 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32713 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32717 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-33053 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.21034)
- microsoft windows 10 1607 (<10.0.14393.8148)
- microsoft windows 10 1809 (<10.0.17763.7434)
- microsoft windows 10 21h2 (<10.0.19044.5965)
- microsoft windows 10 22h2 (<10.0.19045.5965)
have more...
CVE-2025-22455 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-47962 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-5353 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-47953 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-47172 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1003, T1056.001, T1105, T1204.001, T1218, T1566.001, T1583.001

Soft:
Ivanti, Microsoft Office, SharePoint Server, windows smb client, SMB server, Windows SMB, Microsoft SharePoint Server, Windows Remote Desktop Services, Microsoft Word, Windows Common Log File System Driver, have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Две уязвимости нулевого дня - CVE—2025-33053, используемая APT-группой "Stealth Falcon" для удаленного выполнения кода через WebDAV, и CVE-2025-33073, позволяющая повысить привилегии через вредоносный SMB—сервер, - представляют серьезную угрозу. Организациям необходимо срочно устранить эти недостатки, а также ряд других в продуктах Microsoft и Ivanti Workspace Control, чтобы повысить уровень безопасности.
-----

Недавнее раскрытие уязвимостей выявило серьезные угрозы, в частности две уязвимости нулевого дня: CVE-2025-33053 и CVE-2025-33073. CVE-2025-33053 активно эксплуатируется и позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный URL-адрес WebDAV, требующий взаимодействия с пользователем. Группа APT, известная как "Stealth Falcon", использовала эту уязвимость в атаках на оборонных подрядчиков в Турции, манипулируя законными инструментами Windows для выполнения вредоносных программ с контролируемого WebDAV-сервера. Группа использует имплантат под названием Horus Agent, который использует сложные методы уклонения, получает команды с командно-контрольного сервера по зашифрованным каналам и нацелен на ключевые секторы, такие как правительство и оборона.

CVE-2025-33073, второй "нулевой день", является уязвимостью для повышения привилегий в SMB-клиенте Windows. Эта уязвимость позволяет злоумышленникам, прошедшим проверку подлинности, повысить привилегии до системного уровня, обманным путем подключив уязвимую машину к вредоносному SMB-серверу. Организациям следует уделять приоритетное внимание устранению этих двух уязвимостей, учитывая высокие риски, которые они представляют.

В дополнение к этим нулевым дням, в последнем обновлении Microsoft, выпущенном во вторник, были устранены девять критических уязвимостей, затрагивающих Microsoft SharePoint Server, Microsoft Office и другие основные компоненты Windows. Заслуживающие внимания уязвимости включают CVE-2025-47172, CVE-2025-47164, CVE-2025-47167 и CVE-2025-32710, которые позволяют выполнять код удаленно. Другим важным недостатком является CVE-2025-33070, который позволяет повышать привилегии, что требует немедленного внимания из-за его эксплуатационного потенциала.

Кроме того, Ivanti исправила серьезные ошибки в своем приложении Workspace Control, в частности CVE-2025-5353, CVE-2025-22455 и CVE-2025-22463. Эти уязвимости, в первую очередь, позволяют локальным пользователям, прошедшим проверку подлинности, расшифровывать конфиденциальные данные SQL и среды. Хотя ранее не сообщалось об их использовании, организациям, использующим это программное обеспечение, по-прежнему важно применять последние обновления для системы безопасности.

В раскрытии информации подчеркивается необходимость того, чтобы организации сохраняли полную информацию о своих уязвимостях и управляемых активах для эффективного снижения потенциальных рисков. Постоянный мониторинг и своевременное исправление уязвимостей высокой степени серьезности имеют решающее значение для защиты от возникающих угроз.

#ParsedReport #CompletenessLow
12-06-2025

The Spectre of SpectraRansomware

https://labs.k7computing.com/index.php/the-spectre-of-spectraransomware/

Report completeness: Low

Threats:
Spectra
Chaos_ransomware
Yashma
Blacksnake
Teamviewer_tool

Geo:
Turkey, Azerbaijan

ChatGPT TTPs:
do not use without manual check
T1036.005, T1057, T1082, T1112, T1486

IOCs:
File: 2
Path: 1
Hash: 1

Soft:
Microsoft Visual Studio, DefWatch, Twitter

Crypto:
bitcoin

Algorithms:
aes

Functions:
TaskManager, CreatePassword, SetWallpaper

Win Services:
GxVss

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Spectra, являющаяся продолжением семейства Chaos, нацелена на системы Windows с помощью методов двойного вымогательства, шифрования файлов и требования 5000 долларов в биткоинах. Он использует гибридный метод шифрования AES-RSA и использует тактику уклонения, такую как саморазрушение и распознавание процессов, одновременно блокируя доступ к диспетчеру задач, чтобы помешать вмешательству пользователя.
-----

Считается, что программа-вымогатель Spectra, которая действует с апреля 2025 года, произошла от семейства программ-вымогателей Chaos, в которое входят программы-вымогатели Yashma и Blacksnake. Он в первую очередь нацелен на системы на базе Windows и функционирует как двойная угроза вымогательства, шифрования файлов и кражи данных. После запуска программа-вымогатель шифрует все файлы на зараженном устройстве и отправляет письмо с требованием выкупа под названием SPECTRARANSOMWARE.txt, требуя выплаты 5000 долларов в биткоинах в течение 72 часов.

Эта программа-вымогатель работает как 32-разрядный исполняемый файл, скомпилированный с помощью Microsoft Visual Studio .NET. Она использует метод "forbiddenCountry", который проверяет текущий язык ввода; если программа обнаруживает, что страной является Азербайджан или Турция, она прекращает выполнение. Программа-вымогатель Spectra также реализует функцию распознавания процессов, используя GetProcess API, чтобы проверить, присутствует ли она уже в системе. Если программа-вымогатель идентифицирует свое собственное выполнение, она завершит работу самостоятельно. Кроме того, он пытается избежать обнаружения, находя и заменяя себя законным файлом svchost.exe в каталоге профиля пользователя.

Программа-вымогатель дополнительно ограничивает возможности пользователя по остановке своей работы, используя модуль "DisableTaskManager", который устанавливает для диспетчера задач значение "1", что фактически блокирует его. Программа систематически сканирует все доступные диски, исключая при этом шифрование общих системных папок, чтобы свести к минимуму сбои в работе. Метод фильтрации каталогов проверяет известные пути к критическим файлам, чтобы избежать повреждения важных системных файлов.

Определив каталоги для шифрования, программа-вымогатель Spectra использует гибридный метод шифрования AES-RSA для шифрования файлов, корректируя свою стратегию для файлов большего размера (более 1,79 ГБ), просто заменяя их содержимое символами "?". Каждый файл, подлежащий шифрованию, обрабатывается параллельно, и зашифрованные каталоги получают копии уведомления о требовании выкупа. После завершения шифрования программа-вымогатель меняет внешний вид зараженной системы, чтобы визуально подчеркнуть угрозу.

В конечном счете, такая изощренность стратегий поиска и уклонения от атак делает Spectra Ransomware заметной угрозой. Благодаря постоянно развивающимся технологиям, осведомленность и превентивные меры защиты имеют решающее значение для защиты от таких атак.

#ParsedReport #CompletenessHigh
12-06-2025

Vexing and Vicious: The Eerie Relationship between WordPress Hackers and an Adtech Cabal

https://blogs.infoblox.com/threat-intelligence/vexing-and-vicious-the-eerie-relationship-between-wordpress-hackers-and-an-adtech-cabal/

Report completeness: High

Actors/Campaigns:
Vextrio (motivation: financially_motivated)
Help_tds (motivation: financially_motivated)
Disposable_tds
Doppelgnger (motivation: disinformation)
Vane_viper
Horrid_hawk

Threats:
Fakecaptcha_technique
Dollyway
Balada_injector
Sign1
Socgholish_loader
Obfuscator_io_tool
Clearfake

Victims:
Wordpress users, Website visitors, Website owners, Internet users

Geo:
Russian, Mexican

ChatGPT TTPs:
do not use without manual check
T1036, T1071.004, T1090, T1132.001, T1204.001, T1204.002, T1566.002

IOCs:
File: 17
Domain: 79
IP: 5
Url: 2
Hash: 1

Soft:
WordPress, Telegram, TikTok, Android

Algorithms:
exhibit, sha256, base64

Languages:
php, javascript

Links:
https://github.com/infobloxopen/threat-intelligence/

#ParsedReport #ExtractedSchema

Classified images:
schema: 7, code: 5, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сбой в работе VexTrio TDS привел к тому, что злоумышленники перешли на Help TDS, связанный с VexTrio, что позволяет использовать сложные средства связи C2 и тактику сохранения. Злоумышленники перешли от JavaScript к перенаправлениям на стороне сервера, используя системы adtech для обманной маршрутизации пользователей. Такая эволюция повышает операционную безопасность, усложняя обнаружение вредоносных программ и усиливая необходимость в усовершенствованных мерах кибербезопасности.
-----

Сбой в работе системы распределения трафика VexTrio (TDS) привел к тому, что вредоносные программы перешли на службу поддержки TDS, которая связана с VexTrio. Злоумышленники, использующие вредоносное ПО DollyWay, перенаправляли полезную нагрузку на TDS после объявления о сбое в работе VexTrio 17 ноября 2024 года. Примерно 40% зараженных веб-сайтов перенаправлялись на VexTrio через Los Pollos smartlinks, используя записи DNS TXT для обмена данными (C2) с двумя серверами C2, подключенными к российской инфраструктуре. Help TDS имеет общие характеристики с Disposable TDS, что указывает на постоянную связь с VexTrio. Вредоносные кампании перешли от внедрения JavaScript на стороне клиента к перенаправлению PHP на стороне сервера для повышения безопасности. Было заражено около 25 000 веб-сайтов, на которых использовались автоматизированные бот-сети для сохранения и восстановления вредоносных плагинов. Вредоносные программы интегрируются с коммерческими рекламными технологиями, что позволяет вводить пользователей в заблуждение. Распространенные рекламные шаблоны и push-уведомления заставляют пользователей соглашаться на нежелательную рекламу. Анализ 4,5 миллионов DNS-запросов выявил, что две среды C2 перенаправляли жертв на VexTrio до смены операционной системы. Справочная служба TDS работает как минимум с 2017 года и показывает связи с известными хакерами с помощью общих форматов URL-адресов и проприетарных скриптов. Сервисы Push-уведомлений, часто использующие облачный обмен сообщениями Firebase, позволяют злоумышленникам обходить традиционные средства защиты, отправляя уведомления с серверов Google. Постоянное отслеживание участников TDS возможно благодаря настройкам DNS и уникальным веб-артефактам, несмотря на то, что их идентификационные данные скрыты. Рост числа киберпреступлений, связанных с VexTrio, свидетельствует о значительных последствиях для безопасности веб-сайтов и обнаружения вредоносных программ.

#ParsedReport #CompletenessLow
11-06-2025

Attackers Unleash TeamFiltration: Account Takeover Campaign (UNK_SneakyStrike) Leverages Popular Pentesting Tool

https://www.proofpoint.com/us/blog/threat-insight/attackers-unleash-teamfiltration-account-takeover-campaign

Report completeness: Low

Actors/Campaigns:
Unk_sneakystrike

Threats:
Teamfiltration_tool
Password_spray_technique

Victims:
Microsoft entra id user accounts, Cloud tenants, User accounts

Geo:
Ireland, Great britain

ChatGPT TTPs:
do not use without manual check
T1036.004, T1036.005, T1078, T1078.004, T1087.002, T1110.003, T1204.002, T1546.015, T1567.002

IOCs:
IP: 10

Soft:
Microsoft Teams, Outlook, Office 365, OneNote, Microsoft Office

Platforms:
x64

Links:
have more...
https://github.com/Flangvik/TeamFiltration/blob/main/TeamFiltrationConfig\_Example.json
https://github.com/secureworks/family-of-client-ids-research/tree/main
https://github.com/Flangvik/TeamFiltration

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи выявили кампанию UNK_SneakyStrike, которая нацелена на учетные записи Microsoft Entra ID с использованием платформы TeamFiltration framework. Злоумышленники используют разбрасывание паролей и перечисление пользователей, используя службы Microsoft для взлома более 80 000 учетных записей с декабря 2024 года.
-----

Исследователи Proofpoint выявили вредоносную кампанию по захвату учетных записей под названием UNK_SneakyStrike, использующую платформу TeamFiltration для тестирования учетных записей пользователей Microsoft Entra ID. С декабря 2024 года эта кампания затронула более 80 000 учетных записей во многих организациях, что привело к успешным взломам. Злоумышленники используют API Microsoft Teams и серверы Amazon Web Services (AWS) для проведения атак с перечислением пользователей и использованием паролей, используя доступ к таким важным приложениям, как Microsoft Teams, OneDrive и Outlook.

TeamFiltration, инструмент, выпущенный для публичного использования в январе 2021 года, облегчает такие действия, как эксфильтрация данных и стратегии постоянного доступа, с помощью автоматизированной платформы. Его функциональные возможности включают в себя идентификацию действительных учетных записей пользователей в целевой среде, разбрасывание паролей для компрометации учетных записей с использованием различных паролей, а также "черный ход" систем через OneDrive. Этот скрытый подход предполагает загрузку вредоносных файлов в OneDrive цели с целью закрепления или дальнейшей компрометации целей.

Чтобы отследить использование TeamFiltration для несанкционированных действий, Proofpoint изучила общедоступную документацию и файлы конфигурации инструмента по умолчанию, что позволило идентифицировать редкий пользовательский агент, связанный с устаревшей версией Microsoft Teams. Присутствие этого необычного пользовательского агента в законных средах, наряду с вредоносными действиями, указывает на потенциальное злоупотребление TeamFiltration. Кроме того, попытки доступа к определенным приложениям для входа с несовместимых устройств указывают на использование методов подмены пользовательского агента, направленных на сокрытие источника вторжения.

Анализ показал, что для TeamFiltration требуется учетная запись AWS и так называемая "жертвенная" учетная запись пользователя Office 365, которая используется в функциях перечисления для сбора данных учетной записи пользователя. Последние обновления этого инструмента включали метод перечисления в OneDrive, расширяющий его возможности. Попытки атаки, приписываемые UNK_SneakyStrike, показали концентрированные атаки, нацеленные на значительное количество учетных записей в определенной облачной среде, за которыми обычно следуют периоды затишья.

Выводы Proofpoint свидетельствуют о том, что атаки UNK_SneakyStrike свидетельствуют о более широких тенденциях, при которых инструменты тестирования на проникновение перепрофилируются для вредоносных действий. По мере развития сферы применения этих средств проникновения злоумышленники все чаще используют сложные платформы, такие как TeamFiltration, для проведения крупномасштабных атак, извлечения конфиденциальных данных и поддержания постоянного доступа к целевым средам. Продолжающееся исследование подчеркивает необходимость усиления бдительности в отношении подобных кампаний, особенно в связи с тем, что внедрение автоматизированных инструментов тестирования становится все более распространенным как среди специалистов по безопасности, так и среди киберпреступников.