#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С 12 по 18 июня 2025 года более 35 проиранских группировок хактивистов координировали атаки на израильские организации с использованием DDoS-атак, взлома веб-сайтов и утечки данных, в первую очередь нацеленных на военный и правительственный секторы. Несмотря на большое количество атак, реакция произраильских группировок была ограниченной, что отражает тактическую последовательность действий хактивистов.
-----

В период с 12 по 18 июня 2025 года наблюдался заметный рост активности кибер-хактивистов, нацеленных на израильские организации, когда более 35 проиранских группировок хактивистов предприняли скоординированные кибератаки. В этих атаках, в основном, использовались методы распределенного отказа в обслуживании (DDoS), а также атаки на веб-сайты и заявления о взломе данных, нацеленные на военные, правительственные и критически важные сектора инфраструктуры. Этот период отражает тактическую последовательность, наблюдавшуюся в течение предыдущего года, что позволяет предположить, что эти группы не значительно усовершенствовали свои методы атак. Несмотря на большое количество нападений, реакция произраильских группировок оставалась ограниченной, и только 4-5 групп активно участвовали в контрмерах.

Методы злоумышленников демонстрировали сочетание простоты и случайной сложности, включая базовые DDoS-атаки наряду с более сложными атаками, в которых могли быть задействованы промышленные системы управления (ICS). Географическое распределение проиранских группировок выходит за пределы Ирана и включает Палестину, Индонезию, Ливан, Йемен и филиалы международного движения Anonymous. Напротив, произраильские террористы, как правило, сосредотачивались на более целенаправленных операциях против инфраструктуры, включая ядерные объекты и военные объекты.

Эти атаки усилились против различных секторов, уделяя особое внимание государственным органам, избирательной инфраструктуре и популярным цифровым платформам. Геополитический контекст указывает на то, что пророссийские группы хактивистов нацелились на выборы в Европейский парламент, в то время как пропалестинские и исламистские группировки нацелились на израильские и индийские организации после военных действий. Мотивы, стоящие за этими кибератаками, часто связаны с реальными событиями, воспринимаемыми как несправедливость, под влиянием национализма, антизападных настроений или религиозных идеологий.

В основном используются такие тактики, как DDoS-атаки, взломы веб-сайтов и утечки базовых данных, которые обычно происходят из-за скомпрометированных учетных данных или уязвимостей в конфигурациях безопасности. Заслуживающие внимания группы, такие как RipperSec и Mr_Hamza, использовали многогранные стратегии, сочетая удаление с попытками взлома. Однако, несмотря на рост числа многовекторных DDoS-атак и кратковременных утечек данных, общее техническое исполнение остается относительно простым.

Важнейшим аспектом таких операций является манипулирование информацией и проблемы с установлением авторства. Многие группы склонны преувеличивать последствия своих нарушений, приписывать себе ответственность за несвязанные инциденты и повторно использовать старые утечки данных, чтобы привлечь к ним внимание. Неоднозначность в атрибуции усугубляется совпадающими групповыми идентичностями и общими тематическими элементами, что подчеркивает подчеркнуто театральный характер деятельности хактивистов. Несмотря на некоторую согласованность действий конкретных участников, таких как NoName057(16) и DieNet, киберпространство по-прежнему переполнено раздутыми заявлениями и дезинформацией, что затрудняет точную оценку угроз.

#ParsedReport #CompletenessMedium
22-06-2025

Mocha Manakin delivers custom NodeJS backdoor via paste and run

https://redcanary.com/blog/threat-intelligence/mocha-manakin-nodejs-backdoor/

Report completeness: Medium

Actors/Campaigns:
Mocha_manakin

Threats:
Nodeinitrat
Clickfix_technique
Fakecaptcha_technique
Lumma_stealer
Hijackloader
Vidar_stealer
Interlock
Nltest_tool

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1027, T1047, T1059.001, T1059.003, T1071.001, T1078, T1105, T1140, have more...

IOCs:
Command: 5
Url: 2
File: 11
Registry: 1
Path: 3
IP: 1

Soft:
Windows Registry

Algorithms:
xor, zip, gzip

Functions:
Get-Service, Get-PSDrive

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mocha Manakin использует метод "ClickFix" для выполнения сценария PowerShell, который загружает полезные файлы, такие как LummaC2 и Vidar. В нем используется пользовательский бэкдор NodeInitRAT для NodeJS для сохранения и разведки, который обменивается данными по протоколу HTTP с помощью методов обфускации. Стратегии обнаружения должны быть нацелены на node.exe процессы и необычный сетевой трафик, в то время как меры по предотвращению включают блокировку связанных доменов и обучение пользователей, чтобы предотвратить выполнение вредоносных команд.
-----

В действиях Mocha Manakin, которые начали отслеживаться в январе 2025 года, используется метод, известный как "ClickFix", для получения первоначального доступа к системам. Этот метод заставляет пользователей выполнять скрипт PowerShell, который загружает дополнительные вредоносные данные из инфраструктуры, контролируемой злоумышленниками. Он был связан с различными полезными приложениями, такими как LummaC2, HijackLoader и Vidar. Mocha Manakin отличается использованием пользовательского бэкдора NodeJS под названием NodeInitRAT, который позволяет злоумышленнику сохранять работоспособность скомпрометированной системы и проводить разведывательные операции.

NodeInitRAT предназначен для взаимодействия с враждебными серверами по протоколу HTTP, часто используя туннели Cloudflare для сокрытия своего трафика. Бэкдор позволяет выполнять произвольные команды и развертывать дополнительные вредоносные программы. Хотя по состоянию на май 2025 года ни один случай активности Mocha Manakin еще не привел к появлению программ-вымогателей, существует умеренная степень уверенности в том, что постоянные инциденты могут в конечном итоге привести к более серьезным угрозам, таким как программы-вымогатели, учитывая их совпадения с известными операциями программ-вымогателей Interlock.

Технология вставки и запуска по-прежнему широко распространена благодаря своей эффективности в привлечении пользователей. Она использует поведение человека, предлагая вводящие в заблуждение шаги проверки, которые заставляют пользователей непреднамеренно запускать вредоносные команды PowerShell. После выполнения эти команды запускают загрузчик PowerShell, который извлекает ZIP-файл, содержащий допустимый исполняемый файл Node.js. После извлечения запускается NodeInitRAT, который может устанавливать постоянство с помощью записей реестра Windows, проводить системную разведку и инициировать связь с внешними серверами.

Возможности NodeInitRAT включают в себя выдачу команд для перечисления контроллеров домена, доверенных доменов и имен участников службы, а также развертывание различных вредоносных программ. Чтобы избежать обнаружения, он использует кодировку XOR и сжатие GZIP для передачи данных. Стратегии борьбы с этой угрозой включают отключение горячих клавиш Windows для предотвращения выполнения методов вставки и запуска, обучение пользователей для повышения осведомленности о такой тактике и активный мониторинг процессов, связанных с node.exe, что указывает на активность NodeInitRAT.

В случаях обнаружения NodeInitRAT критически важно остановить node.exe процессы и удалить связанные с ними постоянные файлы из системы пользователя. Специалистам по безопасности рекомендуется заблокировать сетевые коммуникации, связанные с RAT, в том числе заблокировать домены, связанные с его командной строкой, и внедрить соответствующие правила брандмауэра. Учитывая, что инфраструктура часто использует легальные сервисы, такие как Cloudflare, бдительность при мониторинге сетевого трафика на предмет необычных запросов необходима для раннего обнаружения NodeInitRAT и подобных угроз. Кроме того, стратегии обнаружения должны быть направлены на выявление случаев node.exe, которые пытаются создать ключи запуска реестра, поскольку такое поведение обычно указывает на скомпрометированную систему.

#ParsedReport #CompletenessLow
22-06-2025

Attackers Actively Exploiting Critical Vulnerability in Motors Theme

https://www.wordfence.com/blog/2025/06/attackers-actively-exploiting-critical-vulnerability-in-motors-theme/

Report completeness: Low

Victims:
Motors wordpress theme users

CVEs:
CVE-2025-4322 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1068, T1190

IOCs:
IP: 10

Soft:
WordPress, Mac OS, Linux, Ubuntu

Languages:
php

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость, связанная с повышением привилегий в теме WordPress Motors, позволяет злоумышленникам, не прошедшим проверку подлинности, изменять пароли пользователей, что потенциально может привести к полному контролю над учетной записью. Уязвимость затрагивает версии вплоть до 5.6.67, при этом попытки эксплойта обнаруживаются вскоре после раскрытия, что подчеркивает необходимость немедленных обновлений и мер безопасности.
-----

В теме WordPress Motors, которая была продана более чем 22 000 раз, была обнаружена значительная уязвимость, связанная с повышением привилегий. Эта уязвимость позволяет злоумышленникам, не прошедшим проверку подлинности, изменять пароли любого пользователя, в том числе с правами администратора, что позволяет полностью контролировать учетные записи и связанные с ними веб-сайты. Уязвимость затрагивает все версии темы Motors до версии 5.6.67 включительно, что связано с ненадлежащей проверкой личности пользователя перед обновлением пароля.

Первоначальное обнаружение этой уязвимости произошло 19 мая 2025 года, и почти сразу же количество попыток ее использования резко возросло, а выявленные случаи использования начались 20 мая 2025 года. Примечательно, что случаи массового использования были зафиксированы начиная с 7 июня 2025 года. Брандмауэр Wordfence отреагировал эффективно, сообщив о более чем 23 100 заблокированных попытках использования этой уязвимости.

Меры защиты были приняты незамедлительно: пользователи Wordfence Premium, Wordfence Care и Wordfence Response получили правила брандмауэра для снижения риска уже 6 мая 2025 года. Однако пользователям бесплатной версии Wordfence пришлось ждать обычной 30-дневной задержки для аналогичных мер защиты, которые были применены 5 июня 2025 года. Было замечено, что злоумышленники атаковали уязвимые веб-сайты в первую очередь после их раскрытия, о чем свидетельствуют заблокированные попытки, зафиксированные 7, 9 и 17 июня. Важно отметить, что характер правила брандмауэра веб-приложений (WAF) означал, что блокировка происходила только на сайтах, на которых была установлена уязвимая версия темы, что позволяет предположить, что многие из заблокированных вредоносных запросов могли бы привести к нарушениям работы сайта, если бы не была установлена защита. Это указывает на острую необходимость в оперативных обновлениях и бдительных мерах безопасности среди пользователей темы Motors, чтобы предотвратить захват учетных записей и потенциальную компрометацию веб-сайта.

#ParsedReport #CompletenessHigh
22-06-2025

Feeling Blue(Noroff): Inside a Sophisticated DPRK Web3 Intrusion

https://www.huntress.com/blog/inside-bluenoroff-web3-intrusion-analysis

Report completeness: High

Actors/Campaigns:
Bluenoroff

Threats:
Root_troy_v4
Injectwithdyld
Process_injection_technique
Xscreen
Cryptobot
Netchk_tool
Telegram2

Geo:
Dprk, North korean

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 12
Url: 5
Domain: 4
Hash: 9

Soft:
Telegram, Zoom, curl, sudo, macOS

Algorithms:
aes, rc4, base64

Functions:
SendData

Languages:
objective_c, swift, applescript

Platforms:
apple, arm, cross-platform

Links:
http://github.com/shirou/gopsutil/

#ParsedReport #ExtractedSchema

Classified images:
code: 33, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
11 июня 2025 года криптовалютный фонд стал жертвой атаки социальной инженерии, которая привела к загрузке вредоносного расширения Zoom. Используемый AppleScript "zoom_sdk_support.scpt" перенаправлялся на вредоносную полезную нагрузку, что позволяло использовать постоянный бэкдор "Telegram 2", который собирал данные хоста и выполнял команды. Атака, приписываемая северокорейской APT-подгруппе TA444, иллюстрирует растущий риск для систем macOS, особенно в таких дорогостоящих секторах, как криптовалюты.
-----

11 июня 2025 года Huntress сообщила об инциденте с безопасностью, связанном с вредоносным расширением Zoom, загруженным сотрудником криптовалютного фонда. Вторжение началось с атаки социальной инженерии через Telegram, когда злоумышленник манипулировал жертвой, заставляя ее присоединиться к поддельному собранию Zoom с участием фальшивых руководителей компании. Во время встречи жертву заставили загрузить AppleScript, помеченный как расширение Zoom, что в конечном итоге послужило первоначальным средством компрометации.

AppleScript, названный "zoom_sdk_support.scpt", якобы перенаправлял пользователя на законную страницу Zoom SDK, но был разработан для загрузки полезной нагрузки с вредоносного сайта. Эта полезная нагрузка была структурирована таким образом, чтобы отключить ведение журнала истории bash и проверить наличие Rosetta 2 в системе пользователя, чтобы облегчить выполнение двоичных файлов x86_64 на Apple Silicon. Последующие компоненты вредоносного ПО включали в себя основной бэкдор, называемый "Root Troy V4", и множество связанных с ним двоичных файлов, используемых для различных вредоносных действий, таких как кейлоггинг, скрытый сбор данных и кража криптовалюты.

Основное выявленное вредоносное ПО, "Telegram 2", действует как постоянный бэкдор, который устанавливает связь со своим сервером управления (C2). Он собирает информацию о зараженном хосте и периодически отправляет собранные данные обратно на сервер C2, что, как сообщается, является тактикой, применявшейся в предыдущих кампаниях BlueNoroff. Вредоносное ПО облегчает выполнение команд несколькими способами, включая удаленное выполнение AppleScripts и команд оболочки.

Кроме того, кейлоггер, написанный на Objective-C, используется для отслеживания нажатий клавиш и активности в буфере обмена, в то время как специализированный инфокрад, получивший название "КриптоБот", сосредоточен на сборе информации, связанной с криптовалютой, из браузеров, установленных на устройстве жертвы. Этот похититель проверяет наличие расширений криптовалютного кошелька и систематически извлекает конфиденциальные данные.

Атака иллюстрирует изощренный подход северокорейской APT—подгруппы TA444 (также известной как BlueNoroff), которая все чаще нацеливается на системы macOS, которые исторически считались менее уязвимыми, чем Windows. Уникальные методы, применяемые для борьбы с macOS, включают широкое использование AppleScript, развертывание сложной полезной нагрузки с помощью внедрения процессов и вредоносных скриптов, адаптированных для обработки и выполнения файлов macOS. Инцидент подчеркивает растущую угрозу для сред macOS, особенно для тех, кто работает в таких дорогостоящих секторах, как криптовалюта. Обучение сотрудников распознаванию тактик социальной инженерии имеет решающее значение для предотвращения подобных целенаправленных атак.

#ParsedReport #CompletenessHigh
22-06-2025

Androxgh0st Continues Exploitation: Operators Compromise a US University For Hosting C2 Logger

https://www.cloudsek.com/blog/androxgh0st-continues-exploitation-operators-compromise-a-us-university-for-hosting-c2-logger

Report completeness: High

Threats:
Androxgh0st
Spring4shell
Hex2bin
Sqlmap_tool

Victims:
University of california, san diego, Jamaican events aggregator platform, Usa basketball men's u19 national team, Academic institutions, Public domains

Industry:
Critical_infrastructure, Education, Iot

Geo:
California, Usa

CVEs:
CVE-2021-21881 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- lantronix premierwave 2050 firmware (8.9.0.0)

CVE-2022-22965 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware spring framework (<5.2.20, <5.3.18)

CVE-2019-17574 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- code-atlantic popup maker (<1.8.13)

CVE-2024-4577 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- php (<8.1.29, <8.2.20, <8.3.8)

CVE-2017-5638 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache struts (<2.3.32, <2.5.10.1)

CVE-2020-10650 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fasterxml jackson-databind (le2.9.10.4)

CVE-2020-9548 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fasterxml jackson-databind (<2.7.9.7, <2.8.11.6, <2.9.10.4)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1078, T1105, T1190, T1505.003

IOCs:
Domain: 42
IP: 1
File: 3
Hash: 4

Soft:
Apache Shiro, WordPress, Unix, Apache Struts, curl, Apache Struts2

Algorithms:
md5

Functions:
e, __destruct

Languages:
php, java

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет Androxgh0st использует уязвимости для удаленного выполнения кода и криптомайнинга, ориентируясь на такие платформы, как WordPress и Apache. Он использует веб-оболочку PHP с запутанным кодом для RCE и демонстрирует передовые технологии, используя внедрение команд и различные векторы атак для компрометации систем. Активный мониторинг запутанной полезной нагрузки и подозрительных действий имеет важное значение для служб безопасности.
-----

Ботнет Androxgh0st продемонстрировал значительную эволюцию с момента своего создания в 2023 году, используя широкий спектр уязвимостей для облегчения удаленного выполнения кода (RCE) и криптомайнинга. Недавние данные указывают на то, что ботнет скомпрометировал поддомен Калифорнийского университета в Сан-Диего, используя его для размещения панелей управления регистраторами (C2). Ботнет нацелен на различные платформы, включая Apache Shiro, Spring framework, WordPress и устройства Интернета вещей, используя неправильно настроенные серверы и известные уязвимости.

Ботнет работает через веб-оболочку PHP, которая подавляет ошибки и выполняет запутанный код, используя определенную структуру полезной нагрузки, что позволяет ему выполнять RCE с помощью POST-запросов. Поведение полезной нагрузки показывает, что она определяет класс с методами, которые позволяют выполнять произвольный PHP-код, отправляемый с помощью параметров POST, эффективно функционируя как классическая веб-оболочка. Дизайн этой веб-оболочки на PHP включает методы обфускации, такие как ROT13, чтобы избежать обнаружения.

Первоначальный доступ осуществляется с помощью различных методов, включая внедрение команд и известные уязвимости в таких компонентах, как плагин "Popup Maker" для WordPress и функция WLANScanSSID в устройствах Lantronix. Ботнет использует широкий спектр направлений атак, включая сложные программы, нацеленные на платформу Apache Struts2, уязвимости в интерфейсе именования и каталогов Java (JNDI) в Apache Shiro и критическую уязвимость Spring4Shell. Эти попытки отражают высокий уровень сложности и адаптивности операций ботнета.

Усилия CloudSEK по мониторингу выявили тревожный рост числа уязвимостей, используемых в качестве оружия: с августа 2024 года было обнаружено более двадцати таких уязвимостей, что означает увеличение их арсенала примерно на 50%. Журналы C2 содержат доказательства, указывающие на постоянную эксплуатацию и внедрение вредоносных команд, предназначенных для утечки конфиденциальных данных или управления системами в неблаговидных целях, таких как криптомайнинг.

Специалистам по безопасности настоятельно рекомендуется принять упреждающие меры для обнаружения действий Androxgh0st, такие как выявление веб-оболочек PHP, использующих методы обфускации, такие как eval(hex2bin(...)), мониторинг подозрительных параметров POST и тщательный анализ журналов сервера на предмет признаков попыток использования JNDI/RMI. Наличие скрытой полезной нагрузки и общих строк ввода команд также должно вызывать тревогу. Этот растущий уровень хакерских атак подчеркивает необходимость того, чтобы организации сохраняли бдительность и реагировали на возникающие уязвимости и тактику, применяемую хакерами, подобными Androxgh0st.

#ParsedReport #CompletenessLow
22-06-2025

PowerShell loads SectopRAT & HijackLoader

https://apophis133.medium.com/powershell-loads-sectoprat-hijack-loader-c6f723de080b

Report completeness: Low

Threats:
Sectop_rat
Hijackloader

ChatGPT TTPs:
do not use without manual check
T1041, T1053.005, T1059.001, T1070.004, T1105, T1119, T1562.001

IOCs:
Url: 4
Hash: 1
File: 8
Command: 1
Domain: 1

Soft:
windows defender, Task Scheduler

Algorithms:
sha256, zip

Functions:
Set-Content

Languages:
powershell, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Скрипт-дроппер на базе PowerShell, обнаруженный в ходе анализа вредоносных программ, отключает средства контроля безопасности, загружает SectopRAT и HiJack Loader, собирает информацию, такую как внешний IP-адрес жертвы, и удаляет следы своей деятельности, чтобы избежать обнаружения. Он повышает скрытность за счет создания исключений в защитнике Windows и работает с помощью загрузки сжатых файлов, сохраняя постоянство за счет проверки запланированных задач.
-----

В ходе рутинного анализа вредоносных программ был идентифицирован скрипт-дроппер на базе PowerShell, который поставляется из вредоносного домена управления (C2). Этот скрипт предназначен для манипулирования настройками безопасности путем отключения различных элементов управления безопасностью в системе. Он работает путем загрузки двух полезных программ: SectopRAT и HiJack Loader, которые используются для дальнейших вредоносных действий, включая вывоз данных. После выполнения своих основных функций скрипт гарантирует, что он удалит все следы своей деятельности, чтобы избежать обнаружения.

Чтобы еще больше повысить скрытность, скрипт dropper создает исключения в защитнике Windows для всего диска C и двух конкретных процессов, которые часто становятся объектами атак вредоносных программ. Эта тактика является частью более широкой стратегии, направленной на то, чтобы избежать обнаружения программным обеспечением безопасности. Вредоносная программа выполняет рекогносцировку, собирая важную информацию, такую как внешний IP-адрес и имя пользователя жертвы, а также проверяя наличие существующей запланированной задачи под названием "MSSecurity". Результаты этой рекогносцировки документируются в файле result.txt.

Операцию можно разбить на несколько этапов. На начальном этапе программа управляет обходом защиты, добавляя исключения в Защитник Windows. Доставка вредоносного ПО осуществляется путем загрузки сжатых файлов с пометками NC.zip и RD.zip. Для выполнения запускается скрипт S-D.exe, извлеченный из этих архивов. На этапах разведки и эксфильтрации программа-обработчик собирает внешний IP-адрес и имя пользователя жертвы и передает эту информацию обратно на сервер C2. Чтобы сохранить постоянство, она запрашивает у планировщика задач задачу с именем MSSecurity. Наконец, для очистки скрипт удаляет загруженные полезные файлы, результаты своей разведки и, в конечном счете, самого себя.

Этот сценарий PowerShell, по-видимому, функционирует как загрузчик 1-го этапа или средство обеспечения полезной нагрузки, закладывая основу для последующих атак путем развертывания извлеченных полезных данных. Сочетание тактики уклонения, сбора информации и последующей очистки подчеркивает сложность работы этого вредоносного ПО и текущие проблемы, связанные с противодействием таким хакерам.

#ParsedReport #CompletenessLow
22-06-2025

Analysis of a Malicious WordPress Plugin: The Covert Redirector

https://blog.sucuri.net/2025/06/analysis-of-a-malicious-wordpress-plugin-the-covert-redirector.html

Report completeness: Low

Victims:
Website owners

ChatGPT TTPs:
do not use without manual check
T1036, T1059.007, T1102, T1189, T1190, T1204.002, T1573.001

IOCs:
File: 1
Url: 2

Soft:
WordPress

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный плагин "wordpress-player.php" скомпрометировал 26 веб-сайтов, используя wp_footer для внедрения скрытых элементов видео, что позволило избежать обнаружения администраторами сайта. Он устанавливает WebSocket-соединение с сервером C2 для контроля в режиме реального времени и перенаправляет пользователей на вредоносные сайты, подвергая риску безопасность пользователей и доверие к сайту.
-----

Недавнее расследование неожиданных перенаправлений, с которыми сталкивались посетители веб-сайта, выявило вредоносный плагин, ответственный за проблему. Было обнаружено, что этот плагин под названием "wordpress-player.php" скомпрометировал по меньшей мере 26 различных веб-сайтов, вероятно, распространяясь через пиратские или иным образом скомпрометированные установки. Выдавая себя за законные компоненты WordPress с ложной атрибуцией “WordPress Core”, злоумышленник стремился избежать обнаружения администраторами сайта.

Взломанный плагин использует функцию wp_footer, внедряя свои элементы JavaScript и HTML в нижний колонтитул каждой страницы на зараженных сайтах. Важно отметить, что вредоносное ПО разработано таким образом, чтобы оно не запускалось для зарегистрированных пользователей, таких как администраторы сайта или редакторы. Он скрывает свой видеоплеер, используя специальные атрибуты стиля, чтобы он оставался невидимым и находился за пределами экрана, а также использует настройки автозапуска и отключения звука для бесшумного показа видео в фоновом режиме. Видео, полученное с подозрительного домена, служит в основном для создания мошеннических показов, а не для предоставления какого-либо значимого контента.

Ключевым элементом функциональности вредоносного ПО является компонент JavaScript, который устанавливает постоянное соединение WebSocket с удаленным сервером управления (C2). Это соединение позволяет злоумышленникам отправлять новые URL-адреса для перенаправления и управлять воспроизведением скрытого видео. Наличие этого канала C2 позволяет манипулировать поведением веб-сайта в режиме реального времени, что приводит к значительным рискам как для владельцев сайта, так и для его посетителей.

Основная проблема, связанная с этим вредоносным ПО, заключается в несанкционированном перенаправлении трафика, которое приводит посетителей на внешние, потенциально опасные веб-сайты. Это подрывает доверие пользователей и подрывает авторитет зараженного сайта. Кроме того, частые переадресации могут ухудшить рейтинг в поисковых системах, что может привести к занесению веб-сайта в черный список. Репутация сайта страдает, поскольку пользователи могут воспринимать его как скомпрометированный, что приводит к снижению вовлеченности и доверия к нему. Кроме того, перенаправленные пользователи могут стать объектами попыток фишинга, вредоносной рекламы, использования наборов эксплойтов или скачивания с компьютера, что представляет серьезную угрозу безопасности. В целом, вредоносное ПО не только нарушает техническую целостность веб-сайтов, но и представляет ощутимую угрозу безопасности пользователей.

#ParsedReport #CompletenessLow
22-06-2025

Lumma meets LolzTeam

https://intelinsights.substack.com/p/lumma-meets-lolzteam

Report completeness: Low

Threats:
Lumma_stealer
Traffer_technique

Industry:
E-commerce, Entertainment, Financial

Geo:
France, Germany, Italy, Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1056.001, T1071.001, T1078, T1555.003, T1566, T1583.001

IOCs:
File: 1

Soft:
Telegram