#ParsedReport #ExtractedSchema

Classified images:
schema: 7, code: 5, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сбой в работе VexTrio TDS привел к тому, что злоумышленники перешли на Help TDS, связанный с VexTrio, что позволяет использовать сложные средства связи C2 и тактику сохранения. Злоумышленники перешли от JavaScript к перенаправлениям на стороне сервера, используя системы adtech для обманной маршрутизации пользователей. Такая эволюция повышает операционную безопасность, усложняя обнаружение вредоносных программ и усиливая необходимость в усовершенствованных мерах кибербезопасности.
-----

Сбой в работе системы распределения трафика VexTrio (TDS) привел к тому, что вредоносные программы перешли на службу поддержки TDS, которая связана с VexTrio. Злоумышленники, использующие вредоносное ПО DollyWay, перенаправляли полезную нагрузку на TDS после объявления о сбое в работе VexTrio 17 ноября 2024 года. Примерно 40% зараженных веб-сайтов перенаправлялись на VexTrio через Los Pollos smartlinks, используя записи DNS TXT для обмена данными (C2) с двумя серверами C2, подключенными к российской инфраструктуре. Help TDS имеет общие характеристики с Disposable TDS, что указывает на постоянную связь с VexTrio. Вредоносные кампании перешли от внедрения JavaScript на стороне клиента к перенаправлению PHP на стороне сервера для повышения безопасности. Было заражено около 25 000 веб-сайтов, на которых использовались автоматизированные бот-сети для сохранения и восстановления вредоносных плагинов. Вредоносные программы интегрируются с коммерческими рекламными технологиями, что позволяет вводить пользователей в заблуждение. Распространенные рекламные шаблоны и push-уведомления заставляют пользователей соглашаться на нежелательную рекламу. Анализ 4,5 миллионов DNS-запросов выявил, что две среды C2 перенаправляли жертв на VexTrio до смены операционной системы. Справочная служба TDS работает как минимум с 2017 года и показывает связи с известными хакерами с помощью общих форматов URL-адресов и проприетарных скриптов. Сервисы Push-уведомлений, часто использующие облачный обмен сообщениями Firebase, позволяют злоумышленникам обходить традиционные средства защиты, отправляя уведомления с серверов Google. Постоянное отслеживание участников TDS возможно благодаря настройкам DNS и уникальным веб-артефактам, несмотря на то, что их идентификационные данные скрыты. Рост числа киберпреступлений, связанных с VexTrio, свидетельствует о значительных последствиях для безопасности веб-сайтов и обнаружения вредоносных программ.

#ParsedReport #CompletenessLow
11-06-2025

Attackers Unleash TeamFiltration: Account Takeover Campaign (UNK_SneakyStrike) Leverages Popular Pentesting Tool

https://www.proofpoint.com/us/blog/threat-insight/attackers-unleash-teamfiltration-account-takeover-campaign

Report completeness: Low

Actors/Campaigns:
Unk_sneakystrike

Threats:
Teamfiltration_tool
Password_spray_technique

Victims:
Microsoft entra id user accounts, Cloud tenants, User accounts

Geo:
Ireland, Great britain

ChatGPT TTPs:
do not use without manual check
T1036.004, T1036.005, T1078, T1078.004, T1087.002, T1110.003, T1204.002, T1546.015, T1567.002

IOCs:
IP: 10

Soft:
Microsoft Teams, Outlook, Office 365, OneNote, Microsoft Office

Platforms:
x64

Links:
have more...
https://github.com/Flangvik/TeamFiltration/blob/main/TeamFiltrationConfig\_Example.json
https://github.com/secureworks/family-of-client-ids-research/tree/main
https://github.com/Flangvik/TeamFiltration

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи выявили кампанию UNK_SneakyStrike, которая нацелена на учетные записи Microsoft Entra ID с использованием платформы TeamFiltration framework. Злоумышленники используют разбрасывание паролей и перечисление пользователей, используя службы Microsoft для взлома более 80 000 учетных записей с декабря 2024 года.
-----

Исследователи Proofpoint выявили вредоносную кампанию по захвату учетных записей под названием UNK_SneakyStrike, использующую платформу TeamFiltration для тестирования учетных записей пользователей Microsoft Entra ID. С декабря 2024 года эта кампания затронула более 80 000 учетных записей во многих организациях, что привело к успешным взломам. Злоумышленники используют API Microsoft Teams и серверы Amazon Web Services (AWS) для проведения атак с перечислением пользователей и использованием паролей, используя доступ к таким важным приложениям, как Microsoft Teams, OneDrive и Outlook.

TeamFiltration, инструмент, выпущенный для публичного использования в январе 2021 года, облегчает такие действия, как эксфильтрация данных и стратегии постоянного доступа, с помощью автоматизированной платформы. Его функциональные возможности включают в себя идентификацию действительных учетных записей пользователей в целевой среде, разбрасывание паролей для компрометации учетных записей с использованием различных паролей, а также "черный ход" систем через OneDrive. Этот скрытый подход предполагает загрузку вредоносных файлов в OneDrive цели с целью закрепления или дальнейшей компрометации целей.

Чтобы отследить использование TeamFiltration для несанкционированных действий, Proofpoint изучила общедоступную документацию и файлы конфигурации инструмента по умолчанию, что позволило идентифицировать редкий пользовательский агент, связанный с устаревшей версией Microsoft Teams. Присутствие этого необычного пользовательского агента в законных средах, наряду с вредоносными действиями, указывает на потенциальное злоупотребление TeamFiltration. Кроме того, попытки доступа к определенным приложениям для входа с несовместимых устройств указывают на использование методов подмены пользовательского агента, направленных на сокрытие источника вторжения.

Анализ показал, что для TeamFiltration требуется учетная запись AWS и так называемая "жертвенная" учетная запись пользователя Office 365, которая используется в функциях перечисления для сбора данных учетной записи пользователя. Последние обновления этого инструмента включали метод перечисления в OneDrive, расширяющий его возможности. Попытки атаки, приписываемые UNK_SneakyStrike, показали концентрированные атаки, нацеленные на значительное количество учетных записей в определенной облачной среде, за которыми обычно следуют периоды затишья.

Выводы Proofpoint свидетельствуют о том, что атаки UNK_SneakyStrike свидетельствуют о более широких тенденциях, при которых инструменты тестирования на проникновение перепрофилируются для вредоносных действий. По мере развития сферы применения этих средств проникновения злоумышленники все чаще используют сложные платформы, такие как TeamFiltration, для проведения крупномасштабных атак, извлечения конфиденциальных данных и поддержания постоянного доступа к целевым средам. Продолжающееся исследование подчеркивает необходимость усиления бдительности в отношении подобных кампаний, особенно в связи с тем, что внедрение автоматизированных инструментов тестирования становится все более распространенным как среди специалистов по безопасности, так и среди киберпреступников.

#ParsedReport #CompletenessHigh
12-06-2025

From Trust to Threat: Hijacked Discord Invites Used for Multi-Stage Malware Delivery

https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/

Report completeness: High

Threats:
Rnrloader
Asyncrat
Skuld
Chromekatz_tool
Clickfix_technique
Dead_drop_technique
Typosquatting_technique

Victims:
Discord users, Crypto users

Industry:
Entertainment

Geo:
Germany, Slovakia, United kingdom, Netherlands, Austria, Vietnam, France

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1005, T1027, T1027.002, T1036.005, T1053.005, T1056.001, T1059.001, T1059.003, T1070.004, have more...

IOCs:
File: 26
Hash: 10
Url: 27
IP: 6
Domain: 3

Soft:
Discord, electron, chrome, Chromium, Windows security, Telegram, Google Chrome

Wallets:
atomicwallet, exodus_wallet, harmony_wallet

Algorithms:
base64, xor, pbkdf2, sha256

Functions:
CreateMutex, IsAlreadyRunning, main, JavaScript, readSeco, setRequestHeader

Win API:
GetFileVersionInfoW, readFile

Languages:
swift, javascript, powershell

Platforms:
cross-platform

Links:
https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki
https://github.com/bitcoin/bips/blob/master/bip-0032.mediawiki
https://github.com/Meckazin/ChromeKatz/
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания использует уязвимости в системе приглашений Discord, перехватывая ссылки с истекшим сроком действия для перенаправления пользователей на вредоносные серверы. Она использует AsyncRAT и Skuld Stealer для удаленного доступа и кражи данных, используя методы обхода защиты. Злоумышленники приспособились обходить шифрование Chrome, расширяя свои возможности по извлечению конфиденциальных данных.
-----

Недавнее расследование, проведенное компанией Check Point Research, выявило сложную вредоносную кампанию, которая использует уязвимости в системе приглашений Discord, в частности, с целью перехвата просроченных или удаленных приглашающих ссылок. Злоумышленники используют эти ссылки для перенаправления пользователей с надежных платформ на вредоносные серверы Discord, внедряя инструменты, которые обходят традиционные меры безопасности. Вредоносная кампания использует комбинацию методов социальной инженерии, включая метод ClickFix, многоступенчатые загрузчики и временные обходы, для доставки вредоносных программ, таких как AsyncRAT и специализированный вариант Skuld Stealer.

Заражение начинается с того, что злоумышленники перехватывают приглашающие ссылки из законных сообществ, которые потеряли свои привилегии премиум-сервера. После истечения срока действия этих ссылок злоумышленники могут использовать их для своих собственных вредоносных серверов. Пользователи, переходящие по этим ссылкам, перенаправляются на фишинговый сайт, созданный для имитации пользовательского интерфейса Discord, где им предлагается выполнить действия, которые заканчиваются выполнением команды PowerShell для загрузки и запуска начальной полезной нагрузки — загрузчика, который извлекает вредоносное программное обеспечение, размещенное в облачных сервисах, таких как GitHub и Bitbucket.

Основные полезные приложения, AsyncRAT и Skuld Stealer, предоставляют широкие возможности для удаленного управления и фильтрации данных. AsyncRAT - это троян для удаленного доступа, который позволяет злоумышленникам получить полный контроль над скомпрометированными системами, используя метод извлечения адресов серверов управления из общедоступных документов, подобных тем, которые можно найти на Pastebin. Между тем, Skuld Stealer нацелен на конфиденциальную информацию из браузеров, игровых платформ и криптовалютных кошельков, включая токены аутентификации Discord и начальные фразы кошелька.

Примечательно, что версия Skuld фильтрует данные через веб-узлы Discord, которые обеспечивают одностороннюю связь, позволяя передавать данные, не привлекая внимания механизмов безопасности. Вредоносная программа использует уникальные методы, позволяющие избежать обнаружения, такие как мониторинг параметров командной строки и задержка выполнения команд.

Кроме того, злоумышленники изменили свой подход, чтобы обойти шифрование Chrome с привязкой к приложениям (ABE), которое защищает данные файлов cookie. Используя такие инструменты, как ChromeKatz, они могут напрямую обращаться к памяти браузера, похищая файлы cookie из последних версий Chrome, Edge и Brave. Этот метод расширяет возможности вредоносного ПО извлекать токены и данные сеанса в обход средств защиты, предназначенных для предотвращения кражи файлов cookie.

Кампания продолжает развиваться, ориентируясь на пользователей криптовалют и используя механизмы постоянного выполнения, гарантирующие, что вредоносное ПО сможет восстановить контроль над зараженными системами, даже если оно будет первоначально удалено. Несмотря на усилия Discord по отключению выявленного вредоносного бота, потенциальная возможность создания злоумышленниками новых эксплойтов, использующих те же уязвимости, остается серьезной проблемой.

#ParsedReport #CompletenessHigh
13-06-2025

Don't Get Caught in the Headlights - DeerStealer Analysis

https://www.esentire.com/blog/dont-get-caught-in-the-headlights-deerstealer-analysis

Report completeness: High

Actors/Campaigns:
Luciferxfiles

Threats:
Deerstealer
Hvnc_tool
Hijackloader
Clickfix_technique
More_eggs
Xfiles_stealer
Steganography_technique
Lolbin_technique
Sandbox_evasion_technique
Tigervnc_tool
Realvnc_tool
Ultra_vnc_tool
Anydesk_tool
Teamviewer_tool

Industry:
Entertainment

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.001, T1021.003, T1027, T1027.001, T1027.002, T1036.004, T1055.002, T1055.012, T1056.001, have more...

IOCs:
File: 8
Url: 4
Registry: 2
Domain: 13
Hash: 9

Soft:
MacOS, curl, Q-Dir, Chromium, Microsoft Edge, Google Chrome, Discord, Telegram, WhatsApp, Pidgin, have more...

Wallets:
coinomi, bitcoincore, exodus_wallet, jaxx, guarda_wallet, electrum

Crypto:
monero

Algorithms:
zip, xor

Functions:
SetCurrentDirectoryW

Win API:
VirtualProtect, FatalAppExitW, LocalAlloc, GetModuleFileNameW, CreateFileA, GetFileSize, ReadFile, LoadLibraryA

Languages:
python, powershell

Platforms:
x64

Links:
have more...
https://github.com/eSentire/iocs/blob/main/DeerStealer/DeerStealer.py
https://github.com/eSentire/iocs/blob/main/DeerStealer/decrypt\_stage\_2.py
https://github.com/eSentire/iocs/blob/main/DeerStealer/api\_hash.py

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 5, dump: 3, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года хакеры использовали пользователей с помощью метода ClickFix для развертывания вредоносного ПО HijackLoader, которое использует стеганографию для хранения конфигурации. Часто в паре с DeerStealer он извлекает конфиденциальную информацию, включая данные о криптовалютах, используя зашифрованную связь с серверами C2 и продвинутую тактику уклонения.
-----

В мае 2025 года хакеры все чаще предпринимали попытки загрузить и запустить сложную вредоносную программу, известную как HijackLoader, часто используя DeerStealer — программу для кражи информации, которую пользователь "LuciferXfiles" рекламировал на форумах даркнета - в качестве конечной полезной нагрузки. Основной метод доступа, наблюдаемый в этих цепочках атак, называется ClickFix, который использует пользователей, перенаправляя их на фишинговые страницы, вызывая выполнение вредоносных команд в командной строке Windows. Первоначальная последовательность действий включает загрузку неподписанной версии допустимой библиотеки DLL с именем "cmdres.dll", которая была изменена для облегчения выполнения HijackLoader.

HijackLoader, известный своим первым появлением в 2023 году, использует стеганографию для хранения своей конфигурации и операционных компонентов в зашифрованных изображениях формата PNG. После его развертывания запускается DeerStealer, предоставляя хакерам широкие возможности для извлечения конфиденциальной информации, включая данные криптовалютного кошелька, файлы cookie браузера, пароли и другие персональные данные. Развивающийся характер DeerStealer включает в себя запланированную интеграцию с поддержкой macOS и расширенные функции, использующие искусственный интеллект для автоматической проверки баланса криптовалюты.

Вредоносное ПО подробно описано на уровнях подписки, где более высокие уровни предоставляют доступ к таким функциям, как скрытое шпионское ПО и возможность удаленного управления с помощью функции скрытых виртуальных сетевых вычислений (VNC), работающей со скоростью 30 кадров в секунду. DeerStealer оснащен обширной функциональностью clipper, поддерживает более 14 типов криптовалют и ориентирован на более чем 800 расширений крипто-кошелька для браузера. Регистрация нажатий клавиш в реальном времени и сбор данных являются важными функциями, позволяющими собирать конфиденциальные данные из популярных приложений и клиентского программного обеспечения, включая различные почтовые клиенты и VPN-сервисы.

Связь между скомпрометированными компьютерами и сервером управления (C2) осуществляется по протоколу HTTPS, где зашифрованные ответы, содержащие параметры конфигурации, передаются после снятия отпечатков пальцев с компьютера-жертвы. Первоначальные запросы вредоносного ПО собирают множество идентификаторов, таких как дата установки компьютера и GUID, что обеспечивает надежную разведывательную способность, которая адаптирует свои операции в зависимости от системы жертвы. Используемые методы предлагают передовые методы обфускации, позволяющие избежать обнаружения, и используют среды, подобные виртуальным машинам, для усложнения статического анализа.

Уделяя особое внимание личной информации, DeerStealer нацелен на важные платформы и приложения, включая Discord, Telegram и различные криптовалютные клиенты, а также планирует расширить охват популярных игровых сервисов и сервисов обмена сообщениями. Более того, хакер поддерживает бизнес-модель работы, предлагая клиентам дифференцированные услуги, и использует панель управления на основе браузера для облегчения управления несколькими ботами. Сложность его архитектуры свидетельствует о значительном расширении спектра угроз, что свидетельствует о растущей сложности инфраструктур киберпреступности.

#ParsedReport #CompletenessLow
12-06-2025

Graphite Caught First Forensic Confirmation of Paragon s iOS Mercenary Spyware Finds Journalists Targeted

https://citizenlab.ca/2025/06/first-forensic-confirmation-of-paragons-ios-mercenary-spyware-finds-journalists-targeted/

Report completeness: Low

Threats:
Paragon_graphite
Bigpretzel
Smallpretzel

Victims:
Ciro pellegrino, Francesco cancellato, Luca casarini, Beppe caccia

Industry:
Education, Government

Geo:
Italy, Italian

CVEs:
CVE-2025-43200 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1041, T1203, T1583.001, T1589.002, T1616, T1620

IOCs:
Url: 1
IP: 1

Soft:
iMessage, Android, WhatsApp

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
chats: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
29 апреля 2025 года Apple предупредила пользователей iOS о шпионской атаке с использованием программы Graphite от Paragon, связанной с CVE-2025-43200 в iOS 18.2.1. Судебно-медицинская экспертиза выявила скомпрометированные устройства двух журналистов, что указывает на сложный эксплойт iMessage. Продолжающиеся расследования выявили целенаправленную деятельность операторов Graphite по созданию инфраструктуры, что вызвало обеспокоенность по поводу агрессивной слежки за журналистами в Европе.
-----

29 апреля 2025 года Apple проинформировала группу избранных пользователей iOS о сложной программе-шпионе Graphite mercenary от Paragon. Судебно-медицинская экспертиза подтвердила, что устройства двух журналистов, в том числе Сиро Пеллегрино и неназванного европейского журналиста, были взломаны. Атака была идентифицирована как эксплойт с нулевым щелчком мыши, связанный с CVE-2025-43200, уязвимостью, присутствующей в iOS 18.2.1, но устраненной в iOS 18.3.1. Результаты судебной экспертизы показали, что устройство одного журналиста начало проявлять признаки взлома в январе и феврале 2025 года, о чем свидетельствуют журналы подключения устройства к определенному серверу связанный с Graphite, получивший название ATTACKER1, предполагает, что шпионское ПО было развернуто с помощью сложной атаки на iMessage, которая оставалась невидимой для целей.

Дальнейшие расследования показали, что аналогичные признаки компрометации были обнаружены на iPhone Пеллегрино, а это означает, что целью обоих журналистов был один и тот же оператор Graphite. Полученные данные указывали на наличие выделенной инфраструктуры для каждого клиента шпионского ПО, что позволяет предположить, что ATTACKER1 был связан исключительно с одним пользователем сервисов Paragon, который нацелился на обоих пользователей.

В отдельном сообщении от 5 июня 2025 года комитет по надзору правительства Италии признал факт использования шпионской программы Paragon Graphite против других лиц, в частности Луки Казарини и доктора Джузеппе "Беппе" Качча, подтвержденный судебно-медицинскими доказательствами и анализом метаданных. Несмотря на предложение Paragon помочь в расследовании невыясненных целей, включая мистера Канчеллато, итальянское правительство отклонило его, сославшись на соображения национальной безопасности.

В ходе текущего анализа было подтверждено, что три европейских журналиста стали объектами атаки Graphite, что свидетельствует о заметном росте агрессивного характера шпионских программ, нацеленных на журналистов в Европе. Были высказаны опасения по поводу подотчетности и полномочий, в соответствии с которыми работают клиенты Paragon, что указывает на тревожную тенденцию к слежке при недостаточном надзоре. В ходе анализа все еще изучаются более широкие последствия и масштабы применения законодательства, касающегося использования шпионских программ, что еще раз подчеркивает необходимость бдительности журналистов и представителей гражданского общества, которые могут получать предупреждения, связанные со шпионскими программами. Кроме того, успешная судебно-медицинская идентификация Graphite на устройствах остается единичной, особенно в системах Android, что подчеркивает трудности, с которыми приходится сталкиваться при подтверждении успешных компрометаций.

#ParsedReport #CompletenessLow
13-06-2025

Exchange Mutations: Malicious Code in Outlook Pages

https://ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/exchange-mutations-vredonosnyj-kod-v-stranicah-outlook/

Report completeness: Low

Threats:
Dns_tunneling_technique

Victims:
State organizations, It companies, Industrial companies, Logistics companies

Industry:
Logistic

Geo:
Kazakhstan, Russian federation, Australia, Netherlands, Portugal, South africa, Arab emirates, Russian, Iran, Mozambique, Georgia, Taiwan, Zambia, Turkey, Morocco, Greece, Viet nam, China, Lebanon, Mexico, Saudi arabia, United arab emirates, Uzbekistan, Iraq, Kuwait, Senegal, Pakistan, Egypt

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1056, T1056.001, T1059.007, T1071.001, T1078, T1189, T1190, T1567.002, have more...

IOCs:
File: 1

Soft:
Outlook, Microsoft Exchange Server, Discord, Telegram, Microsoft Exchange

Algorithms:
aes, xor

Functions:
Date

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложный кейлоггер, нацеленный на серверные системы Microsoft Exchange, скомпрометировал учетные данные пользователей в 26 странах, используя вредоносный JavaScript для перехвата данных во время аутентификации. Злоумышленники используют известные уязвимости в устаревших версиях Exchange и используют различные методы утечки данных, что подчеркивает необходимость улучшения управления уязвимостями и регулярного обновления программного обеспечения.
-----

Недавние расследования выявили продолжающуюся хакерскую атаку с использованием сложного кейлоггера, нацеленного на серверные системы Microsoft Exchange. В ходе атак, впервые выявленных в мае 2024 года, вредоносный код был внедрен на страницы аутентификации сервера, что привело к компрометации учетных данных пользователей в 26 странах. Обнаружение было произведено командой реагирования на инциденты Positive Technologies, что выявило постоянную проблему уязвимостей на общедоступных серверах Exchange, многие из которых все еще работали под управлением устаревших версий.

Обнаруженные кейлоггеры можно разделить на два основных типа в зависимости от их реализации. Вредоносный JavaScript интегрируется в процесс аутентификации, перехватывая учетные данные пользователя по мере их ввода. После сбора данные отправляются с помощью XHR-запросов по определенным путям на взломанный сервер, чему способствует функция обработчика, предназначенная для записи украденной информации в доступный файл. Этот метод, при котором файл, содержащий украденные данные, находится на сервере и доступен из внешней сети, позволяет злоумышленникам сохранять незаметное присутствие в течение длительного времени.

Различные кейлоггеры различаются по способам сбора данных. Некоторые из них используют выделенные серверы для хранения данных, в то время как другие используют легальные сервисы, такие как Telegram или Discord, для сокрытия своей активности. Примечательно, что злоумышленники использовали уникальный идентификатор для классификации украденных учетных записей целевой организацией, что повышало эффективность их работы.

В ходе исследования было выявлено около 65 жертв, в основном из государственных структур и таких секторов, как информационные технологии, логистика и промышленность. В основе атак лежат известные уязвимости в программном обеспечении Microsoft Exchange, при которых внедрение вредоносного кода на законные страницы аутентификации позволяет злоумышленникам собирать конфиденциальную информацию без немедленного обнаружения. Применяемая тактика подчеркивает необходимость совершенствования методов управления уязвимостями. Для организаций крайне важно внедрять надежные системы отслеживания уязвимостей, регулярно обновлять программное обеспечение до последних версий и использовать системы обнаружения для снижения рисков. Постоянный мониторинг информационной безопасности, особенно критически важных серверов, подключенных к Интернету, необходим для предотвращения подобных взломов и обеспечения целостности пользовательских данных.

#ParsedReport #CompletenessMedium
13-06-2025

The Growing Risk of Malicious Browser Extensions

https://socket.dev/blog/the-growing-risk-of-malicious-browser-extensions

Report completeness: Medium

Actors/Campaigns:
Phantom_enigma

Threats:
Supply_chain_technique
Shell_shockers
Hvnc_tool

Victims:
Users, Brazilian banking customers, Wikipedia users in turkey

Industry:
Education, Financial, Entertainment

Geo:
Brazilian, Turkey, Latin america

ChatGPT TTPs:
do not use without manual check
T1041, T1056.001, T1059.007, T1102, T1113, T1176, T1185, T1497.002, T1555.003

IOCs:
Url: 2
File: 2
Domain: 2

Soft:
Chrome, Google Chrome, Telegram

Functions:
setInterval

Languages:
javascript

Platforms:
apple