#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Scattered Spider, действующая с 2022 года, использует агрессивную социальную инженерию, фишинг и подмену SIM-карт для атак на предприятия, часто выступая в качестве посредника для получения первоначального доступа для аффилированных лиц RaaS. Они используют уязвимости облачных платформ и связаны со значительными инцидентами, включая MGM Resorts, что подчеркивает необходимость усиления мер безопасности.
-----

Число атак с использованием программ-вымогателей заметно возросло, и данные свидетельствуют о значительном увеличении числа сайтов с утечками, которыми управляют группы программ-вымогателей, - на 53%. Среди активных хакеров компания Scattered Spider особенно известна тем, что использует агрессивную тактику социальной инженерии для нападения на крупные предприятия. Хотя эта группа не всегда внедряет программы-вымогатели напрямую, она выступает в качестве посредника для получения начального доступа, помогая аффилированным лицам программ-вымогателей осуществлять свои атаки. Их методы работы основаны на фишинге и рассылке SMS-сообщений, которые используются для компрометации учетных данных пользователей и перехвата кодов MFA. Они часто используют атаки с подменой SIM-карт, связанные с их фишинговыми атаками, обходя средства проверки подлинности, чтобы получить несанкционированный доступ к целевым средам.

Компания Scattered Spider, работающая по меньшей мере с 2022 года, была связана с несколькими громкими инцидентами, включая нападения на MGM Resorts и Caesars Entertainment. Группа адаптировалась к различным средам атак, часто используя уязвимости в корпоративных облачных платформах, таких как Azure, AWS и Microsoft 365, для повышения привилегий. Они используют сложные методы социальной инженерии, проводят обширную проверку OSINT, чтобы выдать себя за ИТ-персонал и обманом заставить сотрудников раскрыть учетные данные. Их оперативная тактика включает в себя тщательную разведку, повышение привилегий, использование программы-вымогателя BlackCat (ALPHV) и угрозу раскрытия данных для финансового вымогательства, даже в тех случаях, когда программа-вымогатель не была применена.

Недавние события показывают, что Spider разветвляется на экосистему программ-вымогателей как услуг (RaaS), сотрудничая с известными операторами RaaS. Их целевые сектора включают аутсорсинг бизнес-процессов (BPO), службы поддержки и профессиональные услуги. Например, во время атаки на розничные сети Великобритании, такие как Marks & Spencer и Co-op, в конце апреля 2025 года, Spider Spider использовали платформу для вымогательства DragonForce и провели первоначальную атаку с помощью кампаний социальной инженерии. Это подчеркивает постоянную угрозу, которую они представляют для сектора розничной торговли.

Инцидент с участием MGM Resorts продемонстрировал способность группы использовать человеческий фактор в обеспечении сетевой безопасности, что привело к значительным сбоям в работе и финансовому ущербу, оцениваемому в 100 миллионов долларов. Их тактика продемонстрировала опасную способность обходить современные средства контроля безопасности с помощью сложной социальной инженерии и использования облачных сервисов, что еще больше подчеркнуло необходимость более жестких защитных мер. Организациям необходимо внедрять надежные планы реагирования на инциденты, изолировать скомпрометированные системы, постоянно отслеживать индикаторы компрометации (IOCs), повышать осведомленность пользователей о фишинге и внедрять передовые системы безопасности, такие как архитектура с нулевым уровнем доверия, для эффективного устранения таких угроз.

#ParsedReport #CompletenessHigh
27-06-2025

GIFTEDCROOKs Strategic Pivot: From Browser Stealer to Data Exfiltration Platform During Critical Ukraine Negotiations

https://arcticwolf.com/resources/blog-uk/giftedcrooks-strategic-pivot-from-browser-stealer-to-data-exfiltration-platform-during-critical-ukraine-negotiations/

Report completeness: High

Actors/Campaigns:
Uac-0226 (motivation: cyber_espionage)

Threats:
Giftedcrook
Spear-phishing_technique
Netsupportmanager_rat

Victims:
Ukrainian governmental institutions, Ukrainian military institutions, Authorities in bakhmut, Undisclosed-recipients

Industry:
Military

Geo:
Turkey, Russia, Russian, Ukraine, Ukrainian, Donetsk

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055, T1059.007, T1070.004, T1071.001, T1105, T1114, T1119, T1204.002, have more...

IOCs:
Domain: 1
Hash: 13
File: 7
Path: 3
Url: 1

Soft:
Telegram, LibreOffice, Chrome, Firefox, Google Chrome

Algorithms:
sha256, zip, base64, xor

Languages:
javascript, python

Platforms:
x64

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа UAC-0226 превратила свою вредоносную программу GIFTEDCROOK из простого средства для кражи информации в многофункциональное средство сбора разведданных, предназначенное для украинских военных и правительственных структур с помощью фишинговых электронных писем с вложениями в формате PDF, похожими на оружие. Версии 1.2 и 1.3 улучшают методы кражи документов, шифрования данных и эксфильтрации с помощью Telegram, что указывает на стратегический кибершпионаж, связанный с геополитическими событиями.
-----

Группа кибершпионажа UAC-0226 значительно расширила свои возможности, превратив свою вредоносную программу GIFTEDCROOK из элементарного средства для кражи информации в более сложный инструмент для сбора разведданных. Впервые GIFTEDCROOK был запущен в 2025 году как обычный браузер для кражи данных (версия 1), который с тех пор претерпел два крупных обновления — версии 1.2 и 1.3, что позволило осуществлять широкомасштабную фильтрацию конфиденциальных документов с целевых устройств. Вредоносная программа использовалась в основном против украинских правительственных и военных структур, причем конкретные кампании совпадали с критическими геополитическими событиями, что указывает на стратегическую направленность на сбор разведданных.

Основным источником заражения GIFTEDCROOK остаются электронные письма с фишинговой рассылкой, которые часто оформлены так, чтобы напоминать о срочных военных делах, касающихся Украины. Электронные письма, как правило, содержат PDF-вложения военной тематики, которые оформлены как обычные объекты. После того, как жертва нажимает на эти объекты, они выполняют действия, которые могут привести к установке вредоносного ПО, включая отключение инструментов удаленного доступа, таких как NetSupport RAT, которые обеспечивают постоянный доступ и утечку данных, избегая при этом обнаружения.

Три версии GIFTEDCROOK демонстрируют широкий спектр возможностей. Версия 1 в основном похищала данные браузера, версия 1.2 была расширена за счет кражи документов и введения строкового шифрования файлов, в то время как версия 1.3 сочетает в себе функции предыдущих версий и расширяет возможности поиска данных, ориентируясь на файлы, измененные в течение последних 45 дней, и используя Telegram для эксфильтрации. Каждая версия обладает специфическими функциями, такими как сжатие файлов, шифрование и систематическая организация, что позволяет злоумышленникам безопасно архивировать и передавать данные с сохраненными метаданными.

Новые технологии, используемые UAC-0226, предполагают методичный и стратегический подход к их работе. Взаимосвязь между развертыванием вредоносного ПО и дипломатическими переговорами с высокими ставками демонстрирует, как кибер-инструменты используются для сбора разведданных, которые могут повлиять на военные и политические результаты. Учитывая характер целенаправленных атак, общую инфраструктуру нескольких хакерских группировок и сосредоточение внимания на украинских военных и правительственных учреждениях, возникает широкий спектр угроз, что подчеркивает необходимость усовершенствованных механизмов обнаружения и защиты от этих сложных киберопераций. Организациям рекомендуется усилить свою защиту с помощью обучения сотрудников, защищенных шлюзов электронной почты и решений для обнаружения конечных точек и реагирования на них, чтобы снизить риски, связанные с методами скрытого фишинга, используемыми участниками GIFTEDCROOK.

#ParsedReport #CompletenessLow
27-06-2025

Surge in MOVEit Transfer Scanning Could Signal Emerging Threat Activity

https://www.greynoise.io/blog/surge-moveit-transfer-scanning-activity

Report completeness: Low

Geo:
Mexico, France, Germany, United kingdom

CVEs:
CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- progress moveit_cloud (<14.0.5.45, <14.1.6.97, <15.0.2.39)
- progress moveit_transfer (<2021.0.7, <2021.1.5, <2022.0.5, <2022.1.6, <2023.0.2)

CVE-2023-36934 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- progress moveit_transfer (<12.1.11, <13.0.9, <13.1.7, <14.0.7, <14.1.8)


IOCs:
IP: 5

Soft:
MOVEit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С 27 мая 2025 года активность сканирования, нацеленного на системы передачи данных MOVEit, значительно возросла: было обнаружено более 682 уникальных IP-адреса, в основном из Tencent Cloud. 12 июня были отмечены попытки использования, связанные с известными уязвимостями, что указывает на постоянную угрозу для пользователей MOVEit Transfer.
-----

Компания GreyNoise сообщила о значительном увеличении активности сканирования, нацеленного на системы передачи данных MOVEit, которое началось 27 мая 2025 года. Это ознаменовало резкое изменение по сравнению с ранее низким уровнем сканирования, при котором ежедневно обнаруживалось менее 10 уникальных IP-адресов. 27 мая количество уникальных IP-адресов для сканирования резко возросло до более чем 100, а к 28 мая увеличилось до 319. С момента этого первоначального всплеска ежедневное количество сканируемых IP-адресов колебалось от 200 до 300, что указывает на то, что MOVEit Transfer снова является потенциальной целью для использования.

За предыдущие 90 дней GreyNoise пометил 682 уникальных IP-адреса как участвующие в сканировании систем передачи данных MOVEit. Значительная часть этих попыток сканирования, около 44% (303 IP-адреса), была предпринята из Tencent Cloud (ASN 132203), что делает его наиболее популярным источником сканирования. Среди других важных источников - Cloudflare со 113 IP-адресами, Amazon с 94 и Google с 34 IP-адресами. Большинство этих сканирующих IP-адресов находятся в Соединенных Штатах, а также в Великобритании, Германии, Франции и Мексике.

Кроме того, GreyNoise отметила, что 12 июня 2025 года были предприняты попытки малообъемной эксплуатации, которые были связаны с двумя ранее обнаруженными уязвимостями в MOVEit Transfer. Это указывает на то, что хакеры не только сканируют уязвимости, но и пытаются ими воспользоваться, что свидетельствует о постоянной и усиливающейся угрозе для систем передачи файлов MOVEit. Наблюдаемые тенденции к сканированию и последующим попыткам использования подчеркивают важность бдительности и упреждающих мер безопасности для организаций, использующих это программное обеспечение для передачи файлов.

#ParsedReport #CompletenessHigh
28-06-2025

WEEVILPROXY: An evasive and sophisticated malware campaign silently targeting crypto users across the globe

https://labs.withsecure.com/content/dam/labs/docs/WithSecure_Research_WEEVILPROXY.pdf

Report completeness: High

Threats:
Weevilproxy
Mitm_technique
Smokeloader
Domain_fronting_technique
Typosquatting_technique
Shadow_copies_delete_technique

Victims:
Cryptocurrency users, Organizations, Financial traders, Non-cryptocurrency-related organizations

Geo:
Philippines, Bangladesh, Thailand, Pakistan, Vietnam, Malaysia

TTPs:
Tactics: 3
Technics: 34

IOCs:
File: 16
Path: 3
Domain: 161
Registry: 2
Command: 1
Hash: 116
Url: 1

Soft:
Telegram, Windows Hello, Twitter, TradingView, Windows Setup, Chromium, Chrome, Microsoft Edge, Windows Defender, Brotli, have more...

Wallets:
bybit, metamask, tronlink, rabby, ronin_wallet, tokenpocket, trezor, exodus_wallet, electrum

Crypto:
binance, solana

Algorithms:
zip, sha1

Functions:
Remove-Item, Get-ChildItem, Set-ItemProperty, TaskCache, M, N, U, X

Win API:
SetThreadExecutionState, NtRaiseHardError, ExitWindowsEx, SetSystemPowerState

Languages:
powershell, javascript

Platforms:
amd64, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа WEEVILPROXY нацелена на пользователей криптовалют по всему миру, используя для распространения обманчивую рекламу. Она использует подписанный установщик MSI для выполнения вредоносных программ, которые перехватывают сетевой трафик, крадут конфиденциальную информацию и выполняют расширенные функции, такие как кейлоггинг и фишинг учетных данных. Его архитектура использует запутанные приложения NodeJS и поддерживает постоянство с помощью модификаций Windows, обеспечивая скрытность и непрерывность операций.
-----

Компания WithSecure обнаружила сложную вредоносную кампанию, известную как WEEVILPROXY, которая с марта 2024 года в основном нацелена на пользователей криптовалют по всему миру. Кампания развивалась благодаря постоянным обновлениям, проводимым хакерами, и использует широкомасштабные рекламные стратегии, вводящие в заблуждение на таких платформах, как Facebook и контекстно-медийная сеть Google, маскируясь под популярное программное обеспечение для криптовалют. Заражение также затронуло организации, не связанные с криптовалютой, из-за перекрестного заражения, что подчеркивает широкий масштаб угрозы.

Вредоносная программа работает по детальной цепочке заражения, инициируемой взаимодействием пользователя с вводящей в заблуждение рекламой, которая ведет на замаскированный сайт загрузки. На этом сайте обычно размещается подписанный установщик MSI, содержащий безобидную на первый взгляд полезную информацию. После выполнения вредоносные аспекты материализуются, позволяя вредоносному ПО устанавливать прокси-сервер для перехвата сетевого трафика, эффективно похищая конфиденциальную информацию о криптовалютах у пользователей, когда они переходят на сайты обмена. Он способен отслеживать сетевые запросы по меньшей мере для 45 криптовалютных бирж и может манипулировать действиями жертвы в интернете с помощью своих функций прокси-сервера, включая фишинг учетных данных.

WEEVILPROXY включает в себя расширенные возможности, такие как ведение кейлогга, мониторинг экрана, выполнение команд командной строки и операции с файлами. Кроме того, вредоносная программа может собирать данные с рабочего стола Telegram и манипулировать расширениями браузера, связанными с криптовалютными кошельками, осуществляя фильтрацию паролей в режиме реального времени с помощью встроенных скриптов. Эти скрипты предназначены для скрытой работы, обходя предупреждения пользователя о режиме разработчика.

Архитектура вредоносного ПО включает в себя различные технологии, в частности приложения NodeJS, которые затемняются, компилируются и сжимаются для предотвращения анализа и содействия быстрому развитию. Он подключается к серверам управления (C2), используя двунаправленную архитектуру клиент/сервер, обеспечивая связь в режиме реального времени и применяя защитные меры, такие как DNS-over-HTTPS в Cloudflare, для уклонения от трафика.

Для сохранения работоспособности вредоносная программа умело изменяет режим перезагрузки Windows и поддерживает функциональность с помощью таких механизмов, как создание запланированных задач, которые сохраняются после сброса настроек. Она может даже регистрировать новые идентификаторы для обеспечения непрерывности своей работы, гарантируя, что она останется незамеченной во время рутинных процессов восстановления системы.

Более того, хакер использует сложные средства отслеживания, которые позволяют осуществлять всесторонний контроль за процессом заражения, повышая его способность корректировать таргетинг и адаптироваться к поведению пользователей. Обладая обширным арсеналом тактик уклонения и вредоносных функций, WEEVILPROXY представляет значительную угрозу не только для пользователей криптовалют, но и в целом для юридических лиц из-за потенциального перекрестного заражения через зараженные корпоративные устройства.

#ParsedReport #CompletenessMedium
27-06-2025

Sapphire Werewolf refines Amethyst stealer toattack energy companies

https://bi.zone/eng/expertise/blog/kamen-ogranennyy-sapphire-werewolf-ispolzuet-novuyu-versiyu-amethyst-stealer-dlya-atak-na-tek/

Report completeness: Medium

Actors/Campaigns:
Sapphire_werewolf

Threats:
Amethyst
Dotnet_reactor_tool

Victims:
Energy companies

Industry:
Energy

TTPs:
Tactics: 9
Technics: 0

IOCs:
File: 2
Url: 1
Domain: 1
Hash: 1

Soft:
NET Reactor, VirtualBox, Windows service, Windows Task Scheduler, Telegram, Chrome, Opera, Orbitum, Kometa, Chromium

Algorithms:
base64, des, zip

Functions:
Invoke

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Sapphire Werewolf обновила программу Amethyst stealer, распространяя ее по фишинговым электронным письмам с исполняемыми PDF-файлами. Вредоносная программа поддерживает расширенные проверки на обнаружение виртуальных машин, использует тройное шифрование DES для шифрования и извлекает учетные данные из различных браузеров и приложений, усложняя обнаружение с помощью поддельных документов и специальных URL-адресов для утечки данных.
-----

Кластер Sapphire Werewolf обновил свой инструментарий, внедрив более продвинутую версию Amethyst stealer, которая в основном распространяется с помощью фишинговых электронных писем, замаскированных под официальные сообщения. Хакер отправляет вредоносное вложение, выдаваемое за служебную записку представителя отдела кадров, в которой содержится исполняемый файл, замаскированный значком PDF. Этот исполняемый файл представляет собой загрузчик .NET, в котором содержится полезная нагрузка в кодировке Base64, которая в конечном итоге и является похитителем аметиста. Эта вредоносная программа защищена с помощью .NET Reactor и загружает вредоносные файлы в память с помощью библиотеки сжатия файлов DotNetZip.dll, обычно использующей Zip-библиотеку Ionic версии 1.16.

В последней версии Amethyst stealer реализованы сложные проверки для виртуализированных сред, позволяющие избежать обнаружения. Программа выполняет ряд проверок, чтобы определить, является ли среда выполнения виртуальной машиной (ВМ). Это включает в себя попытки получить файловые дескрипторы, уникальные для VirtualBox, проверку реестра Windows на наличие ключей, связанных с инструментами VMware, и сбор обширной системной информации с помощью инструментария управления Windows (WMI). Проверки распространяются на определение особенностей оборудования, таких как производитель и модель процессора, материнской платы и диска, а также состояния подключаемых устройств и служб Windows. Эти методы направлены на выявление сред, в которых вредоносное ПО может быть изолировано, что позволяет хакеру обойти меры безопасности.

Более того, Amethyst stealer использует алгоритм симметричного шифрования Triple DES, чтобы скрыть свои рабочие строки, что является отличием от обычных .NET загрузчиков, которые шифруют целые сегменты кода. Программа stealer также способна извлекать учетные данные из веб-браузеров, включая Chrome, Opera и Edge Chromium, а также конфиденциальные данные из VPN-клиентов, конфигурации удаленных рабочих столов и различные типы документов, хранящихся на съемных носителях.

Дальнейший анализ показал, что вредоносная программа взаимодействует с определенными URL-адресами для извлечения данных, в том числе с одним из сторонних сервисов. Кроме того, BI.ZONE Threat Intelligence подчеркнула, что Amethyst stealer также может извлекать и запускать поддельный PDF-документ, что еще больше усложняет обнаружение. Организациям рекомендуется усилить свою защиту от подобных атак с помощью комплексной защиты электронной почты и применения стратегий, которые улучшают понимание этих развивающихся угроз и повышают бдительность в отношении последних киберугроз, создаваемых такими хакерами, как Sapphire Werewolf.

#ParsedReport #CompletenessMedium
28-06-2025

Dire Wolf Strikes: New Ransomware Group Targeting Global Sectors

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/dire-wolf-strikes-new-ransomware-group-targeting-global-sectors/

Report completeness: Medium

Actors/Campaigns:
Dire_wolf (motivation: financially_motivated)

Threats:
Dire_wolf
Shadow_copies_delete_technique
Wevtutil_tool
Vssadmin_tool
Bcedit_tool
Qtox_tool

Geo:
New york, Thailand, Taiwan

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.001, T1070.001, T1486, T1490, T1562.001

IOCs:
File: 28
Command: 3
Hash: 3
Url: 1

Soft:
MSExchange, MSSQL, DefWatch, QuickBooks, steam, thebat, firefox, onenote, outlook, wordpad, have more...

Algorithms:
md5, curve25519, sha1, chacha20, sha256

Functions:
Get-WmiObject

Win API:
ControlService

Win Services:
eventlog, AcrSch2Svc, SQLPBENGINE, MsDtsServer150, SQLSERVERAGENT, BackupExecAgentAccelerator, BackupExecAgentBrowser, msmdsrv, SQLTELEMETRY, BackupExecDiveciMediaService, have more...

Languages:
golang, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Dire Wolf, нацеленных на производственный и технологический секторы, использует двойное вымогательство для шифрования файлов и угрозы публикации данных. Программа написана на Golang и использует UPX для обфускации, отключает ведение журнала и удаление теневых копий для повышения эффективности. Шифрование сочетает в себе Curve25519 и ChaCha20, добавляя к файлам ".direwolf", в то время как пользовательские уведомления о требовании выкупа указывают на индивидуальную стратегию вымогательства.
-----

Группа программ-вымогателей Dire Wolf, впервые обнаруженная в мае 2025 года, быстро превратилась в крупную хакерскую группу, нацеленную, в частности, на производственный и технологический секторы по всему миру, причем наибольшее количество атак было зарегистрировано в Соединенных Штатах и Таиланде. Используя тактику двойного вымогательства, Dire Wolf не только шифрует файлы в зараженных системах, но и угрожает публикацией конфиденциальных данных, чтобы вынудить жертв заплатить выкуп. По последним данным, жертвами были признаны 16 организаций в 11 странах.

Исследование, проведенное Trustwave SpiderLabs, выявило важные рабочие детали образца программы-вымогателя Dire Wolf. Этот конкретный образец, полученный с помощью Virustotal Hunting, изначально был оснащен UPX, распространенным методом обфускации. Анализ показал, что программа—вымогатель написана на Golang, языке программирования, который киберпреступники предпочитают за его мобильность и устойчивость к обнаружению - заметное преимущество, учитывая, что некоторые антивирусные решения борются с вредоносными программами на базе Golang.

После запуска программа-вымогатель выполняет специальные проверки, чтобы предотвратить одновременный запуск нескольких экземпляров и проверить, была ли система уже взломана. Она выполняет поиск файла-маркера ("runfinish.exe") и проверяет мьютекс ("Global\direwolfAppMutex"). Если какой-либо из них будет обнаружен, он не запустится, а самоудалится. Если программа-вымогатель не обнаружена, она отключает ведение журнала событий Windows и завершает различные процессы, которые могут повлиять на ее работу, включая ключевые антивирусные решения. Используя такие команды, как Powershell, vssadmin и wevtutil, он повышает свою эффективность за счет удаления теневых копий и очистки журналов событий.

Для шифрования Dire Wolf использует комбинацию алгоритмов Curve25519 и ChaCha20, добавляя расширение ".direwolf" ко всем зашифрованным файлам, за исключением файлов с указанными расширениями, связанными с безопасностью системы. Отправленная после шифрования записка с требованием выкупа настраивается для каждой жертвы, включая уникальные учетные данные для входа в чат переговоров, что указывает на индивидуальный подход к вымогательству.

Хотя методы проникновения, рекогносцировки и бокового перемещения, используемые Dire Wolf, остаются неясными, организациям настоятельно рекомендуется внедрить надежные методы обеспечения безопасности и обеспечить мониторинг поведенческих показателей, выявленных в этом анализе. Компания Trustwave предложила правила обнаружения, основанные на методах, описанных в их исследовании, направленные на защиту организаций от воздействия и тактики уклонения, типичных для операций программ-вымогателей.

#ParsedReport #CompletenessLow
28-06-2025

The Case of Hidden Spam Pages

https://blog.sucuri.net/2025/06/the-case-of-hidden-spam-pages.html

Report completeness: Low

Threats:
Blackseo_technique

Victims:
Wordpress website administrators

Industry:
E-commerce, Entertainment

ChatGPT TTPs:
do not use without manual check
T1036.005, T1078, T1110.001, T1133, T1505, T1564.001

IOCs:
File: 2

Soft:
WordPress, Steam

Functions:
WordPress

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют wp-admin WordPress с помощью грубой силы для рассылки спама, часто используя скрытые методы, такие как CSS и вредоносные плагины для постоянного доступа. Это указывает на уязвимости в защите входа в систему и необходимость принятия строгих мер безопасности.
-----

Веб-сайты WordPress часто становятся мишенью злоумышленников, которые используют панель администратора wp с помощью грубой силы для создания спам-сообщений и страниц. Простота этого метода, который требует простого доступа к панели администратора, делает его распространенным источником заражения. Многие установки WordPress не имеют надежной защиты, позволяющей ограничить неудачные попытки входа в систему или скрыть личность администратора, что приводит к уязвимости, которой можно легко воспользоваться. После взлома злоумышленники могут генерировать множество спам-сообщений, что часто приводит к появлению десятков тысяч вредоносных сообщений, удаление которых может занять много времени.

Процесс очистки взломанного сайта обычно включает в себя проверку как файлов, так и базы данных. Во многих случаях заражение спамом заметно проявляется в базе данных из-за его текстовой природы. Термины, связанные с азартными играми онлайн, и различные ключевые слова, связанные со спамом, часто попадают в эти базы данных, что приводит к существенному негативному влиянию на SEO сайта, особенно при индексации поисковыми системами. Хотя метод удаления таких сообщений непосредственно в wp-admin, как правило, позволяет восстановить законный контент, отдельные случаи могут маскировать такой спам, усложняя усилия по исправлению.

В ходе недавнего анализа были обнаружены спам-страницы, рекламирующие онлайн-казино, и неожиданный контент, такой как Farming Simulator 17, хотя они и не были доступны с помощью обычных административных запросов. Вместо этого спам-сообщения были намеренно скрыты с помощью таких методов, как CSS, чтобы изменить видимость в административной области. Определенный плагин был идентифицирован как бэкдор, который обеспечивал злоумышленникам постоянный доступ к сайту. Этот плагин использовал функции, общие для вредоносного программного обеспечения, в том числе механизм самозакрытия, который скрывал его присутствие от администраторов и скрывал спам-контент от прямого доступа.

Дальнейшая проверка показала, что комбинация вводящей в заблуждение идентификации плагина и простых манипуляций с кодом, таких как использование правил CSS "отображать: нет", позволила злоумышленникам скрыть спам. Хотя такие методы могут показаться тривиальными, они демонстрируют, на что способны злоумышленники, чтобы сохранить свой эксплойт и избежать обнаружения. Подобная практика рассылки спама и сокрытия информации иллюстрирует постоянные угрозы в среде WordPress, подчеркивая острую необходимость в строгих мерах безопасности и регулярных проверках для эффективного обнаружения и устранения таких уязвимостей. Кибератакеры продолжают внедрять инновации, внедряя новые методы, позволяющие оставаться незамеченными и продолжать свою незаконную деятельность.

#ParsedReport #CompletenessLow
27-06-2025

The Birth and Death of LoopyTicket Our Story on CVE-2025-33073

https://www.guidepointsecurity.com/blog/the-birth-and-death-of-loopyticket/

Report completeness: Low

Threats:
Loopyticket_technique
Petitpotam_vuln
Badsuccessor_technique
Printnightmare_vuln
Netexec_tool

Industry:
Education, E-commerce, Financial

CVEs:
CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.002, T1046, T1071.004, T1097, T1557.001

IOCs:
File: 4

Soft:
Active Directory, SMB Server, Twitter

Functions:
WriteProperties

Win API:
NETBIOS

Languages:
python

Links:
https://github.com/dirkjanm/krbrelayx
have more...
https://github.com/Pennyw0rth/NetExec/pull/718
https://github.com/C0nd4/krbrelayx