#ParsedReport #CompletenessLow
21-06-2025

Part 2: The Iran-Israel Cyber Standoff - The State's Silent War

https://www.cloudsek.com/blog/part-2-the-iran-israel-cyber-standoff---the-states-silent-war

Report completeness: Low

Actors/Campaigns:
Apt42 (motivation: hacktivism, cyber_espionage, information_theft)
Oilrig (motivation: hacktivism, cyber_espionage, information_theft)
Muddywater (motivation: hacktivism, cyber_espionage, information_theft)
Handala (motivation: hacktivism, politically_motivated, cyber_espionage, information_theft)
Charming_kitten
Marnanbridge
Irgc (motivation: cyber_espionage)
Nemesis_kitten
Cyberav3nger (motivation: hacktivism)

Threats:
Sphynx
Dns_tunneling_technique
Supply_chain_technique
Lolbin_technique
Powerkitten
Spear-phishing_technique
Powerstats
Log4shell_vuln
Bondupdater_tool
Quadagent
Credential_harvesting_technique

Industry:
Petroleum, Education, Government, E-commerce, Chemical, Telco, Energy, Military, Ngo, Logistic

Geo:
Iranian, Palestinian, Iran, Middle east, Israeli, Israel

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.003, T1071.004, T1078, T1078.002, T1185, T1190, T1195, T1216, T1218, have more...

IOCs:
File: 1

Soft:
Telegram

Languages:
swift, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские хакеры, включая APT42, APT34, MuddyWater и Handala, все чаще атакуют Израиль и союзников посредством шпионажа, DDoS-атак и кражи учетных данных. Известные тактические приемы включают фишинг, эксплойты PowerShell и туннелирование DNS с акцентом на политические потрясения и уязвимые сектора. Для противодействия этим сложным угрозам необходимы надежные меры кибербезопасности.
-----

Недавние данные свидетельствуют о заметном росте числа кибератак, связанных с действиями иранских хакеров, нацеленных на Израиль и его союзников. Сообщается, что такие известные группы, как APT42, APT34, MuddyWater и коллектив хактивистов Handala, занимаются различными видами деятельности - от шпионажа и кражи данных до распределенных атак типа "отказ в обслуживании" (DDoS). Используемые методы включают фишинг, кражу учетных данных и использование скрытых инструментов, которые позволяют этим субъектам эффективно проникать в чувствительные сектора.

Этими кибероперациями руководят Корпус стражей Исламской революции (КСИР) и Министерство разведки и безопасности (MOIS). Ключевые действующие лица включают APT42, которая специализируется на шпионаже с помощью социальной инженерии и облачных компрометаций, MuddyWater, известную тем, что использует PowerShell и общедоступные уязвимости, и APT34, которая использует в своих атаках передовые тактики, такие как туннелирование DNS. Появление Handala свидетельствует о политически мотивированной группе, специализирующейся на DDoS-атаках и утечке данных, нацеленных на связанные с Израилем организации.

APT42 известна своими целенаправленными разведывательными действиями и изощренным пользовательским вредоносным ПО, использующим такие стратегии, как поддельные страницы входа в систему и скрытый фишинг, для получения доступа к конфиденциальным данным. Их деятельность характеризуется методичным и персонализированным подходом к выявлению отдельных лиц, особенно в академическом и правозащитном секторах, где они извлекают данные из скомпрометированных учетных записей.

MuddyWater работает под управлением MOIS и известна своей способностью поддерживать долгосрочный доступ к сетям жертв, используя такие инструменты, как бэкдоры PowerShell, и используя уязвимости приложений, в частности уязвимость Log4j. Их деятельность охватывает такие отрасли, как телекоммуникации, государственное управление и энергетика, с целью сбора разведывательных данных, имеющих отношение к интересам Ирана.

APT34 была связана с более сложными кампаниями, которые соответствуют национальным целям Ирана. Они используют пользовательское вредоносное ПО и связь на основе DNS для управления, что указывает на высокий уровень скрытности и адаптивности. Их целями часто являются финансовые службы и государственные учреждения, где они сосредоточены на сборе учетных данных и эксфильтрации данных.

Операции Handala носят явно деструктивный и политически окрашенный характер, а быстрый доступ к целям часто достигается с помощью DDoS-атак или использования известных веб-уязвимостей. Группа отдает приоритет немедленному воздействию, а не долгосрочному, часто публикуя данные на публичных платформах, чтобы усилить свои политические идеи и подорвать деятельность организаций, воспринимаемых как враждебные.

Эти текущие мероприятия подчеркивают острую необходимость для организаций усилить свои меры кибербезопасности. Рекомендации включают внедрение надежных протоколов исправления уязвимостей, мониторинг трафика DNS и внедрение систем безопасности с нулевым уровнем доверия для снижения рисков, связанных с этими продвинутыми хакерами. Последствия для организаций включают потенциальную утечку данных, сбои в работе и ущерб репутации из-за публичного раскрытия информации или перебоев в обслуживании. Соблюдение нормативных стандартов также может стать насущной проблемой после таких инцидентов.

#ParsedReport #CompletenessHigh
21-06-2025

APT36 Phishing Campaign Targets Indian Defense Using Credential-Stealing Malware

https://www.cyfirma.com/research/apt36-phishing-campaign-targets-indian-defense-using-credential-stealing-malware/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: information_theft, cyber_espionage)

Threats:
Credential_stealing_technique
Credential_harvesting_technique
Spear-phishing_technique
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique

Victims:
Indian defense personnel

Industry:
Education, Government

Geo:
Brazil, India, Indian, Pakistan

TTPs:
Tactics: 10
Technics: 54

IOCs:
Hash: 6
Domain: 18
IP: 12
Url: 1
File: 1

Algorithms:
exhibit, sha256, md5, zip

Functions:
GetStartupInfo, FindNextFileExW

Win API:
IsDebuggerPresent, IsWow64Process, FindResourceExW, CreateStreamOnHGlobal, CreateProcessW, ShellExecuteW, OpenWindowStationW, GetProcessWindowStation, SetProcessWindowStation, OpenDesktopW, have more...

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, filemanager: 1, code: 8, dump: 11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, известная как Transparent Tribe, нацелена на сотрудников министерства обороны Индии с помощью фишинговых электронных писем с вредоносными PDF-файлами, имитирующими официальные документы. Внедренная вредоносная программа перехватывает учетные данные и сообщения, используя методы антианализа, чтобы избежать обнаружения, что способствует долгосрочному проникновению в сети министерства обороны Индии.
-----

APT36, известная как Transparent Tribe, является базирующейся в Пакистане группой кибершпионажа, которая в основном нацелена на сотрудников министерства обороны Индии с помощью изощренных фишинговых кампаний. Их методы включают отправку фишинговых электронных писем с вредоносными вложениями в формате PDF, которые очень напоминают официальные правительственные документы. Когда пользователи открывают эти PDF-файлы, они сталкиваются с вводящим в заблуждение интерфейсом входа в систему, похожим на Национальный центр информатики (NIC). Это приводит к загрузке ZIP-архива, содержащего вредоносный исполняемый файл, который выдает себя за законное приложение. Конечная цель группы, по-видимому, сосредоточена на краже учетных данных, способствующей долгосрочному проникновению в индийские оборонные сети.

В фишинговой кампании широко используется встроенный PDF-файл с именем "PO-003443125.pdf". При работе с этим файлом пользователи перенаправляются на вредоносный URL-адрес, который загружает ZIP-файл с именем "PO-003443125.pdf.7z", содержащий замаскированный исполняемый файл "PO-003443125.pdf.exe". Исполняемый файл предназначен для того, чтобы вводить пользователей в заблуждение, отображая значок PDF-файла. При запуске вредоносная программа использует различные системные функции для обеспечения скрытности и уклонения от обнаружения, включая использование методов антианализа, таких как определение того, выполняется ли она в среде отладки или виртуализации с использованием “IsDebuggerPresent” и “IsWow64Process”. При обнаружении такой среды вредоносная программа завершает свою работу, тем самым избегая проверки.

Работа вредоносного ПО включает процессы, которые незаметно запускают другие приложения, управляя взаимодействиями с пользовательской средой с помощью функций манипулирования окнами. Способность управлять выполнением процессов позволяет вредоносному ПО сохранять устойчивость и скрытно выполнять вредоносные действия. Примечательно, что он может перехватывать нажатия клавиш с помощью функций GetAsyncKeyState и GetKeyState для получения большого количества данных, включая учетные данные и конфиденциальные сообщения.

Сетевые функции вредоносной программы позволяют осуществлять командно-контрольные действия, облегчая удаленный доступ и фильтрацию данных. Он использует подозрительное сетевое поведение, включая DNS-запросы к доменам с низкой репутацией и зашифрованные сообщения со своей командно-диспетчерской инфраструктурой, часто размещаемой в крупных сетях доставки контента, чтобы избежать обнаружения.

Активность, связанная с вредоносным ПО, вызывает тревогу: признаки ресурсоемкого поведения, такие как скачки производительности процессора и аномальные деревья процессов, указывают на классические признаки выполнения вредоносного ПО. Методы кражи учетных данных вредоносного ПО включают в себя использование кэшей данных браузера, учетных данных почтовых клиентов и содержимого буфера обмена с помощью методов захвата форм и кейлоггинга.

Учитывая текущую деятельность APT36, она представляет собой серьезную угрозу национальной безопасности, особенно в отношении оборонных секторов Индии. Передовые методы фишинга и кража учетных данных этой группы свидетельствуют о растущей сложности кибершпионажа. Организации, сталкивающиеся с такими угрозами, должны уделять приоритетное внимание комплексным стратегиям кибербезопасности, включая надежную защиту электронной почты, программы повышения осведомленности пользователей и системы непрерывного мониторинга, чтобы эффективно снизить эти риски.

#ParsedReport #CompletenessLow
21-06-2025

Declaration trap: Crypto Drainers masquerading as European Tax Authorities

https://www.group-ib.com/blog/declaration-trap/

Report completeness: Low

Actors/Campaigns:
Declaration_trap
Steal-it

Threats:
Inferno

Victims:
Crypto holders, Users, Dutch residents

Industry:
Financial, Government, Education

Geo:
Dutch, Netherlands

ChatGPT TTPs:
do not use without manual check
T1078, T1114, T1119, T1185, T1204.001, T1205.003, T1556.003, T1566.001, T1566.002, T1589, have more...

IOCs:
File: 9
Hash: 6
Domain: 15

Soft:
Telegram, WalletConnect

Wallets:
metamask

Functions:
sendMainINFO

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года мошенники атаковали пользователей криптовалют в Нидерландах, выдавая себя за налоговые органы и сея панику с помощью фишинговых электронных писем. Они использовали поддельные правительственные веб-сайты для кражи личной и финансовой информации, используя вредоносные методы, такие как смарт-контракты и скрипты для вывода средств из кошелька, чтобы избежать обнаружения. Эта афера отражает сдвиг в сторону психологических манипуляций, подчеркивая необходимость повышения осведомленности пользователей наряду с технологической защитой.
-----

В начале 2025 года Group-IB выявила целенаправленную мошенническую кампанию, которая использует путаницу, связанную с налогообложением криптовалют, особенно в Нидерландах. Мошенники выдают себя за официальные налоговые органы, в первую очередь за налоговую инспекцию Сша, и используют электронную почту, чтобы вызвать панику по поводу срочных требований к налоговой декларации, заманивая жертв на фишинговые веб-сайты, которые очень похожи на законные правительственные порталы.

Фишинговые электронные письма направляют жертв на эти поддельные сайты, дизайн которых имитирует подлинную государственную символику, включая логотипы и верстку. Целевые страницы запрашивают личную информацию, такую как полное имя, домашний адрес, дата рождения, контактные данные, номера банковских счетов и информация о поставщике кошелька, создавая видимость законности. Дополнительный уровень обмана достигается за счет включения полей, в которых пользователи могут указывать количество криптоактивов, которыми они владеют.

В ходе этой операции используются два основных направления атаки. Первый заключается в краже исходной фразы кошелька жертвы, в то время как второй использует вредоносные смарт-контракты для опустошения кошельков. Мошенники внедрили скрипты, которые функционально блокируют средства отладки, чтобы защитить фишинговую страницу от анализа, что позволяет избежать обнаружения. Например, скрипт с именем check.js предотвращает проверку, тем самым усложняя процесс анализа.

Кроме того, в более сложном варианте фишингового набора злоумышленники интегрировали функциональность WalletConnect, что позволяет им нацеливаться на кошельки со смарт-контрактами, которые не полагаются исключительно на закрытые ключи. Этот подход требует, чтобы жертвы отсканировали QR-код, подключив свой кошелек к вредоносному децентрализованному приложению (DApp) под видом декларирования своих активов. Подключение осуществляется с помощью последней версии wallet-connect.js скрипт, связанный с Inferno Drainer, который отправляет запросы на транзакции, замаскированные под безобидные действия, такие как "проверка права собственности" на активы. Как только жертвы одобряют эти запросы, их кошельки опустошаются в результате вредоносных транзакций, инициированных подключенным сайтом.

Эволюция этой аферы иллюстрирует изменение тактики социальной инженерии. Противники перешли от традиционных методов заманивания, таких как обещания высадки по воздуху или вознаграждения, к более психологическим стратегиям манипулирования, которые вызывают страх и безотлагательность, выдавая себя за государственные учреждения. Такая эволюция подчеркивает важность обучения пользователей и повышения их осведомленности в борьбе с этими изощренными попытками фишинга в условиях меняющегося ландшафта угроз. По мере того, как злоумышленники совершенствуют свои методы, технологические средства защиты остаются ключевыми, но их следует дополнять информационными кампаниями для снижения рисков психологических манипуляций.

#ParsedReport #CompletenessLow
21-06-2025

Part 1: The Iran-Israel Cyber Standoff - The Hacktivist Front

https://www.cloudsek.com/blog/part-1-the-iran-israel-cyber-standoff---the-hacktivist-front

Report completeness: Low

Actors/Campaigns:
Hackyourmom
Irgc
Lulzsec
Dark_storm_team
Cyber_fattah_team
Team_fearles
Nation_of_saviors
Red_wolf
Dienet (motivation: hacktivism)
Evilmorocco
Bd_anonymous
Rootsec
Handala-hacking-team
R3v0xan0nymous
Deadeye_jackal
Sindoor (motivation: hacktivism)
Rippersec (motivation: hacktivism)
Mr_hamza (motivation: hacktivism)
Noname057 (motivation: hacktivism)

Threats:
Sparrow

Victims:
Government bodies, Military systems, Critical infrastructure, Civilian services, Nuclear facilities, Tech companies, Election infrastructure, Digital platforms, American assets, European assets, have more...

Industry:
Telco, Financial, Government, Education, Energy, Critical_infrastructure, Ics, Military, Healthcare

Geo:
Israeli, Palestine, Iranian, Palestinian, Israel, Indonesia, India, Lebanon, Iran, Yemen, American

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078.001, T1087, T1135, T1499, T1565.001, T1566, T1568.002, T1583.006, T1589

Soft:
Instagram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С 12 по 18 июня 2025 года более 35 проиранских группировок хактивистов координировали атаки на израильские организации с использованием DDoS-атак, взлома веб-сайтов и утечки данных, в первую очередь нацеленных на военный и правительственный секторы. Несмотря на большое количество атак, реакция произраильских группировок была ограниченной, что отражает тактическую последовательность действий хактивистов.
-----

В период с 12 по 18 июня 2025 года наблюдался заметный рост активности кибер-хактивистов, нацеленных на израильские организации, когда более 35 проиранских группировок хактивистов предприняли скоординированные кибератаки. В этих атаках, в основном, использовались методы распределенного отказа в обслуживании (DDoS), а также атаки на веб-сайты и заявления о взломе данных, нацеленные на военные, правительственные и критически важные сектора инфраструктуры. Этот период отражает тактическую последовательность, наблюдавшуюся в течение предыдущего года, что позволяет предположить, что эти группы не значительно усовершенствовали свои методы атак. Несмотря на большое количество нападений, реакция произраильских группировок оставалась ограниченной, и только 4-5 групп активно участвовали в контрмерах.

Методы злоумышленников демонстрировали сочетание простоты и случайной сложности, включая базовые DDoS-атаки наряду с более сложными атаками, в которых могли быть задействованы промышленные системы управления (ICS). Географическое распределение проиранских группировок выходит за пределы Ирана и включает Палестину, Индонезию, Ливан, Йемен и филиалы международного движения Anonymous. Напротив, произраильские террористы, как правило, сосредотачивались на более целенаправленных операциях против инфраструктуры, включая ядерные объекты и военные объекты.

Эти атаки усилились против различных секторов, уделяя особое внимание государственным органам, избирательной инфраструктуре и популярным цифровым платформам. Геополитический контекст указывает на то, что пророссийские группы хактивистов нацелились на выборы в Европейский парламент, в то время как пропалестинские и исламистские группировки нацелились на израильские и индийские организации после военных действий. Мотивы, стоящие за этими кибератаками, часто связаны с реальными событиями, воспринимаемыми как несправедливость, под влиянием национализма, антизападных настроений или религиозных идеологий.

В основном используются такие тактики, как DDoS-атаки, взломы веб-сайтов и утечки базовых данных, которые обычно происходят из-за скомпрометированных учетных данных или уязвимостей в конфигурациях безопасности. Заслуживающие внимания группы, такие как RipperSec и Mr_Hamza, использовали многогранные стратегии, сочетая удаление с попытками взлома. Однако, несмотря на рост числа многовекторных DDoS-атак и кратковременных утечек данных, общее техническое исполнение остается относительно простым.

Важнейшим аспектом таких операций является манипулирование информацией и проблемы с установлением авторства. Многие группы склонны преувеличивать последствия своих нарушений, приписывать себе ответственность за несвязанные инциденты и повторно использовать старые утечки данных, чтобы привлечь к ним внимание. Неоднозначность в атрибуции усугубляется совпадающими групповыми идентичностями и общими тематическими элементами, что подчеркивает подчеркнуто театральный характер деятельности хактивистов. Несмотря на некоторую согласованность действий конкретных участников, таких как NoName057(16) и DieNet, киберпространство по-прежнему переполнено раздутыми заявлениями и дезинформацией, что затрудняет точную оценку угроз.

#ParsedReport #CompletenessMedium
22-06-2025

Mocha Manakin delivers custom NodeJS backdoor via paste and run

https://redcanary.com/blog/threat-intelligence/mocha-manakin-nodejs-backdoor/

Report completeness: Medium

Actors/Campaigns:
Mocha_manakin

Threats:
Nodeinitrat
Clickfix_technique
Fakecaptcha_technique
Lumma_stealer
Hijackloader
Vidar_stealer
Interlock
Nltest_tool

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1027, T1047, T1059.001, T1059.003, T1071.001, T1078, T1105, T1140, have more...

IOCs:
Command: 5
Url: 2
File: 11
Registry: 1
Path: 3
IP: 1

Soft:
Windows Registry

Algorithms:
xor, zip, gzip

Functions:
Get-Service, Get-PSDrive

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mocha Manakin использует метод "ClickFix" для выполнения сценария PowerShell, который загружает полезные файлы, такие как LummaC2 и Vidar. В нем используется пользовательский бэкдор NodeInitRAT для NodeJS для сохранения и разведки, который обменивается данными по протоколу HTTP с помощью методов обфускации. Стратегии обнаружения должны быть нацелены на node.exe процессы и необычный сетевой трафик, в то время как меры по предотвращению включают блокировку связанных доменов и обучение пользователей, чтобы предотвратить выполнение вредоносных команд.
-----

В действиях Mocha Manakin, которые начали отслеживаться в январе 2025 года, используется метод, известный как "ClickFix", для получения первоначального доступа к системам. Этот метод заставляет пользователей выполнять скрипт PowerShell, который загружает дополнительные вредоносные данные из инфраструктуры, контролируемой злоумышленниками. Он был связан с различными полезными приложениями, такими как LummaC2, HijackLoader и Vidar. Mocha Manakin отличается использованием пользовательского бэкдора NodeJS под названием NodeInitRAT, который позволяет злоумышленнику сохранять работоспособность скомпрометированной системы и проводить разведывательные операции.

NodeInitRAT предназначен для взаимодействия с враждебными серверами по протоколу HTTP, часто используя туннели Cloudflare для сокрытия своего трафика. Бэкдор позволяет выполнять произвольные команды и развертывать дополнительные вредоносные программы. Хотя по состоянию на май 2025 года ни один случай активности Mocha Manakin еще не привел к появлению программ-вымогателей, существует умеренная степень уверенности в том, что постоянные инциденты могут в конечном итоге привести к более серьезным угрозам, таким как программы-вымогатели, учитывая их совпадения с известными операциями программ-вымогателей Interlock.

Технология вставки и запуска по-прежнему широко распространена благодаря своей эффективности в привлечении пользователей. Она использует поведение человека, предлагая вводящие в заблуждение шаги проверки, которые заставляют пользователей непреднамеренно запускать вредоносные команды PowerShell. После выполнения эти команды запускают загрузчик PowerShell, который извлекает ZIP-файл, содержащий допустимый исполняемый файл Node.js. После извлечения запускается NodeInitRAT, который может устанавливать постоянство с помощью записей реестра Windows, проводить системную разведку и инициировать связь с внешними серверами.

Возможности NodeInitRAT включают в себя выдачу команд для перечисления контроллеров домена, доверенных доменов и имен участников службы, а также развертывание различных вредоносных программ. Чтобы избежать обнаружения, он использует кодировку XOR и сжатие GZIP для передачи данных. Стратегии борьбы с этой угрозой включают отключение горячих клавиш Windows для предотвращения выполнения методов вставки и запуска, обучение пользователей для повышения осведомленности о такой тактике и активный мониторинг процессов, связанных с node.exe, что указывает на активность NodeInitRAT.

В случаях обнаружения NodeInitRAT критически важно остановить node.exe процессы и удалить связанные с ними постоянные файлы из системы пользователя. Специалистам по безопасности рекомендуется заблокировать сетевые коммуникации, связанные с RAT, в том числе заблокировать домены, связанные с его командной строкой, и внедрить соответствующие правила брандмауэра. Учитывая, что инфраструктура часто использует легальные сервисы, такие как Cloudflare, бдительность при мониторинге сетевого трафика на предмет необычных запросов необходима для раннего обнаружения NodeInitRAT и подобных угроз. Кроме того, стратегии обнаружения должны быть направлены на выявление случаев node.exe, которые пытаются создать ключи запуска реестра, поскольку такое поведение обычно указывает на скомпрометированную систему.

#ParsedReport #CompletenessLow
22-06-2025

Attackers Actively Exploiting Critical Vulnerability in Motors Theme

https://www.wordfence.com/blog/2025/06/attackers-actively-exploiting-critical-vulnerability-in-motors-theme/

Report completeness: Low

Victims:
Motors wordpress theme users

CVEs:
CVE-2025-4322 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1068, T1190

IOCs:
IP: 10

Soft:
WordPress, Mac OS, Linux, Ubuntu

Languages:
php

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость, связанная с повышением привилегий в теме WordPress Motors, позволяет злоумышленникам, не прошедшим проверку подлинности, изменять пароли пользователей, что потенциально может привести к полному контролю над учетной записью. Уязвимость затрагивает версии вплоть до 5.6.67, при этом попытки эксплойта обнаруживаются вскоре после раскрытия, что подчеркивает необходимость немедленных обновлений и мер безопасности.
-----

В теме WordPress Motors, которая была продана более чем 22 000 раз, была обнаружена значительная уязвимость, связанная с повышением привилегий. Эта уязвимость позволяет злоумышленникам, не прошедшим проверку подлинности, изменять пароли любого пользователя, в том числе с правами администратора, что позволяет полностью контролировать учетные записи и связанные с ними веб-сайты. Уязвимость затрагивает все версии темы Motors до версии 5.6.67 включительно, что связано с ненадлежащей проверкой личности пользователя перед обновлением пароля.

Первоначальное обнаружение этой уязвимости произошло 19 мая 2025 года, и почти сразу же количество попыток ее использования резко возросло, а выявленные случаи использования начались 20 мая 2025 года. Примечательно, что случаи массового использования были зафиксированы начиная с 7 июня 2025 года. Брандмауэр Wordfence отреагировал эффективно, сообщив о более чем 23 100 заблокированных попытках использования этой уязвимости.

Меры защиты были приняты незамедлительно: пользователи Wordfence Premium, Wordfence Care и Wordfence Response получили правила брандмауэра для снижения риска уже 6 мая 2025 года. Однако пользователям бесплатной версии Wordfence пришлось ждать обычной 30-дневной задержки для аналогичных мер защиты, которые были применены 5 июня 2025 года. Было замечено, что злоумышленники атаковали уязвимые веб-сайты в первую очередь после их раскрытия, о чем свидетельствуют заблокированные попытки, зафиксированные 7, 9 и 17 июня. Важно отметить, что характер правила брандмауэра веб-приложений (WAF) означал, что блокировка происходила только на сайтах, на которых была установлена уязвимая версия темы, что позволяет предположить, что многие из заблокированных вредоносных запросов могли бы привести к нарушениям работы сайта, если бы не была установлена защита. Это указывает на острую необходимость в оперативных обновлениях и бдительных мерах безопасности среди пользователей темы Motors, чтобы предотвратить захват учетных записей и потенциальную компрометацию веб-сайта.

#ParsedReport #CompletenessHigh
22-06-2025

Feeling Blue(Noroff): Inside a Sophisticated DPRK Web3 Intrusion

https://www.huntress.com/blog/inside-bluenoroff-web3-intrusion-analysis

Report completeness: High

Actors/Campaigns:
Bluenoroff

Threats:
Root_troy_v4
Injectwithdyld
Process_injection_technique
Xscreen
Cryptobot
Netchk_tool
Telegram2

Geo:
Dprk, North korean

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 12
Url: 5
Domain: 4
Hash: 9

Soft:
Telegram, Zoom, curl, sudo, macOS

Algorithms:
aes, rc4, base64

Functions:
SendData

Languages:
objective_c, swift, applescript

Platforms:
apple, arm, cross-platform

Links:
http://github.com/shirou/gopsutil/

#ParsedReport #ExtractedSchema

Classified images:
code: 33, schema: 1