#ParsedReport #CompletenessLow
07-07-2025

Mellow Drama: Turning Browsers Into Request Brokers

https://medium.com/@johnatsecureannex/mellow-drama-turning-browsers-into-request-brokers-c25bdd3e6455

Report completeness: Low

Actors/Campaigns:
Mellowtel (motivation: financially_motivated)

Threats:
Mitm_technique

Victims:
Perceptron networks, Blockmesh networks, Browser extension users

ChatGPT TTPs:
do not use without manual check
T1021, T1036.005, T1041, T1071.001, T1176

IOCs:
File: 1
Domain: 6

Soft:
chrome, Firefox, Electron, Flutter

Functions:
removeRuleIds

Languages:
javascript

Links:
https://github.com/PlasmoHQ/docs/pull/137#issuecomment-2448769654
https://github.com/mellowtel-inc/mellowtel-js
have more...
https://github.com/PlasmoHQ/docs/pull/137

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mellowtel, библиотека JavaScript для расширений браузера, передает конфиденциальную информацию об устройстве через WebSocket в AWS Lambda, позволяя выполнять операции очистки, которые нарушают конфиденциальность пользователей. Ее дизайн позволяет проводить потенциальные атаки с использованием повторных учетных данных, удаляя важные заголовки безопасности HTTP, что повышает уязвимость при веб-взаимодействиях. Несмотря на то, что он был помечен как вредоносное ПО, он по-прежнему используется в нескольких браузерах, и Google начинает удалять связанные с ним расширения.
-----

Mellowtel - это библиотека, предназначенная для использования в расширениях браузера, в основном построенных на JavaScript, что позволяет разработчикам легко интегрировать ее в свои проекты с помощью npm. Чтобы использовать Mellowtel, разработчики должны внести изменения в манифест расширения, включив в него такие разрешения, как declarativeNetRequest и all_urls для доступа. Примечательно, что процесс интеграции обеспечивает минимальное взаимодействие с пользователем в отношении конфиденциальности, поскольку библиотека может быть внедрена без явного уведомления пользователя, что вызывает опасения по поводу прозрачности и согласия.

После активации Mellowtel устанавливает канал WebSocket для функции AWS Lambda, передавая конфиденциальную информацию об устройстве, включая местоположение и доступную полосу пропускания. Библиотека может выполнять операции очистки, используя сетевые характеристики хост-устройства, что потенциально подвергает пользователей, подключенных через VPN на основе IP, уязвимостям этой сети. Несмотря на то, что Mellowtel включает в себя меры на стороне клиента для ограничения доступа к файлам cookie и аутентификационным данным, разработчики сохраняют за собой возможность изменять этот код, что создает дополнительные проблемы с безопасностью.

Архитектура Mellowtel предполагает, что она может допускать повторное использование учетных данных, что часто используется хакерами, использующими брокеры объектных запросов (ORB). В отличие от традиционных ORB, связанных со взломанными серверами, Mellowtel использует браузерные расширения, расширяющие возможности для атаки. Для корректной работы Mellowtel удаляет важные заголовки безопасности HTTP, защищающие от различных атак путем внедрения, создавая значительный риск при просмотре веб-страниц пользователем. Хотя сообщается, что эти заголовки восстанавливаются после запроса, период, в течение которого они отсутствуют, может быть критичным для использования.

Несмотря на свои возможности, присутствие Mellowtel вызвало споры, и многие разработчики назвали его вредоносным ПО, что привело к его удалению из интеграции с такими платформами, как PlasmoHQ. В настоящее время библиотека была обнаружена в многочисленных расширениях браузеров Chrome, Edge и Firefox, и, по оценкам, она может быть установлена почти у миллиона пользователей. Google инициировала удаление нескольких расширений, содержащих Mellowtel, что свидетельствует о выявлении потенциального вредоносного поведения, связанного с этим.

Индикаторы компрометации (IOCs), относящиеся к Mellowtel, доступны из его репозитория на GitHub, что свидетельствует о постоянном мониторинге его развертывания и угрозах безопасности, которые оно представляет. Несмотря на проблемы с разработкой и негативную реакцию на его использование, Mellowtel продолжает активно работать с несколькими дополнениями, предоставляя исследователям и аналитикам в области безопасности возможность внимательно следить за его влиянием и любыми возникающими угрозами, связанными с его интеграцией.

#ParsedReport #CompletenessLow
14-07-2025

Adversary Infrastructure and Indicators Behind the SAP NetWeaver 0-Day Exploitation

https://research.kudelskisecurity.com/2025/07/14/adversary-infrastructure-and-indicators-behind-the-sap-netweaver-0-day-exploitation/

Report completeness: Low

Threats:
Cobalt_strike_tool

CVEs:
CVE-2025-31324 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sap netweaver (7.50)


ChatGPT TTPs:
do not use without manual check
T1059.004, T1190, T1505.003

IOCs:
IP: 5
Domain: 5
Hash: 5
Url: 7

Soft:
SAP NetWeaver

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-31324 - это критическая уязвимость в SAP NetWeaver Visual Composer, которая позволяет злоумышленникам, не прошедшим проверку подлинности, загружать вредоносные JSP-файлы для удаленного выполнения кода, создавая значительный риск для незащищенных корпоративных систем.
-----

27 марта 2025 года в SAP NetWeaver Visual Composer была обнаружена новая уязвимость, получившая обозначение CVE-2025-31324. Этот конкретный недостаток активно использовался в дикой природе, создавая серьезную угрозу для корпоративных систем, которые оставались незащищенными. Уязвимость позволяет злоумышленникам, не прошедшим проверку подлинности, загружать вредоносные файлы JavaServer Pages (JSP), что облегчает удаленное выполнение кода. Возможность выполнения произвольного кода в уязвимых системах представляет собой критический риск для организаций, особенно для тех операционных экземпляров программного обеспечения, которые не были защищены от этой уязвимости. Специалистам по безопасности следует уделять приоритетное внимание оценке своей среды на наличие незащищенных систем и внедрять необходимые обновления для снижения рисков, связанных с этим эксплойтом.

#ParsedReport #CompletenessLow
11-07-2025

Malware Found in Official GravityForms Plugin Indicating Supply Chain Breach

https://patchstack.com/articles/critical-malware-found-in-gravityforms-official-plugin-site/

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Groundhogg, Gravity forms, Wordpress servers

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.004, T1041, T1059.001, T1070.004, T1071.001, T1087, T1105, T1136.001, T1195, T1204.002, have more...

IOCs:
IP: 2
Domain: 2
File: 2

Soft:
WordPress, Discord, curl

Algorithms:
base64

Functions:
update_entry_detail, list_sections

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целью атаки на цепочку поставок был плагин Gravity Forms для WordPress, который в версии 2.9.12 внедрил бэкдор для выполнения вредоносных действий, таких как создание учетных записей администратора и сбор конфиденциальных данных. Была выпущена исправленная версия, но пользователи должны сохранять бдительность в отношении потенциальных IOCs и других эксплойтов.
-----

Недавний анализ уязвимостей в плагине Gravity Forms для WordPress выявил целенаправленную атаку на цепочку поставок, которая повлияла на версии плагина и привела к внедрению вредоносного кода. Наиболее важные находки указывают на то, что в версии 2.9.12 был внедрен бэкдор, что побудило разработчиков из RocketGenius немедленно провести расследование. Вредоносный код изначально был обнаружен в gravityforms/common.файл php, загруженный с официального сайта Gravity Forms. Выявленная вредоносная программа использует среду WordPress, выполняя HTTP-запросы, которые собирают конфиденциальную информацию, такую как URL сайта и настройки сервера. Ответ на эти запросы обрабатывается с помощью механизма декодирования base64 и сохраняется на целевом сервере, как правило, в формате 'wp-includes/bookmark-canonical.php'.

Вредоносная программа использует функцию, зарегистрированную для действия "plugins_loaded", гарантирующую, что она активируется всякий раз, когда используется плагин. Примечательно, что код допускает несколько вредоносных функций, таких как создание учетных записей администратора, выполнение функций eval на входных данных в кодировке base64, загрузка произвольных файлов, перечисление учетных записей пользователей и удаление учетных записей пользователей. Наличие определенных функций, таких как "update_entry_detail" и "list_sections", запускает эти вредоносные действия, тем самым ставя под угрозу установку WordPress.

В свете этого были предприняты шаги по исправлению ситуации, включая приостановку действия домена gravityapi.org с помощью Namecheap для снижения рисков использования. Позже была выпущена исправленная версия Gravity Forms для устранения выявленных уязвимостей, в частности, для обеспечения удаления вредоносного ПО при повторной загрузке плагина пользователями. Несмотря на эту превентивную меру, службы безопасности продолжают отслеживать ситуацию из-за потенциального остаточного воздействия на пострадавшую среду и прогнозировать возможные новые варианты атаки. Анализ подчеркивает настоятельную необходимость того, чтобы пользователи установили последнюю версию плагина и проверили наличие признаков компрометации (IOCs), связанных с атакой, включая любые сообщения с известными вредоносными доменами или IP-адресами. Patchstack по-прежнему внимательно следит за развитием событий, связанных с этой атакой на цепочку поставок, и предлагает рекомендации по дальнейшим мерам безопасности.

#ParsedReport #CompletenessLow
10-07-2025

Detecting defendnot: A Tool for Silently Disabling Windows Defender

https://stairwell.com/resources/detecting-defendnot-a-tool-for-silently-disabling-windows-defender/

Report completeness: Low

Threats:
Defendnot_tool

ChatGPT TTPs:
do not use without manual check
T1562.001, T1588.002

IOCs:
Hash: 2
File: 1

Soft:
Windows Defender, Microsoft Defender, Windows Security Center

YARA: Found

Links:
https://github.com/es3n1n/defendnot

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Defendnot, разработанный участником es3n1n, отключает Microsoft Defender, используя API Windows Security Center, что позволяет скрытно обходить меры безопасности. Он регистрируется как сторонний антивирус, что позволяет Defender отключать сам себя, и представляет собой прогресс в разработке вредоносных программ, повышающий скрытность после их использования. Аналитики создали правило YARA для обнаружения defendnot, которое помогает отслеживать угрозы и обеспечивает видимость.
-----

Defendnot - это инструмент, разработанный хакером es3n1n, предназначенный для отключения защитника Microsoft путем использования API Windows Security Center (WSC), который является менее известным механизмом в операционной системе Windows. Эта утилита, изначально размещенная на GitHub, представляет собой сложную технику, используемую злоумышленниками, которые ищут скрытые методы обхода встроенных мер безопасности. Вместо использования явных методов, таких как завершение процессов Defender или изменение разделов реестра — подходов, которые могут вызывать предупреждения от систем обнаружения конечных точек и реагирования (EDR), — defendnot регистрирует себя как сторонний антивирус через WSC. Эта регистрация приводит к добровольному отключению Defender, основанному на предположении системы о том, что при наличии другого антивирусного решения Microsoft Defender не нужен.

Важным аспектом defendnot является его прямое взаимодействие с недокументированным WSC API, что демонстрирует прогресс по сравнению с предыдущими инструментами, такими как no-defender, которые для достижения аналогичных целей использовали существующий сторонний антивирусный код. Скрытный характер этого метода имеет значительные последствия для практики последующей эксплуатации, а также для разработки общего вредоносного ПО, поскольку он менее навязчив и с меньшей вероятностью вызовет срабатывание охранной сигнализации во многих операционных средах.

Чтобы помочь в выявлении и анализе двоичных файлов defendnot, аналитики разработали правило YARA, использующее конкретные строки и артефакты кода, уникальные для общедоступной сборки инструмента. Это правило полезно для обнаружения поэтапного использования инструментов или остатков действий после взлома. Информация, полученная в результате внедрения этого правила YARA, позволяет мгновенно выявлять потенциальные угрозы, обеспечивая быстрый подход к мониторингу коллекций файлов и повторному поиску артефактов в наборах данных, связанных с этим инструментом. Используя такую платформу, как Stairwell, организации могут эффективно применять это правило, что обеспечивает охват всего предприятия и расширяет возможности обнаружения угроз.

#ParsedReport #CompletenessLow
14-07-2025

Stealthy PHP Malware Uses ZIP Archive to Redirect WordPress Visitors

https://blog.sucuri.net/2025/07/stealthy-php-malware-uses-zip-archive-to-redirect-wordpress-visitors.html

Report completeness: Low

Threats:
Seo_poisoning_technique

Victims:
Wordpress website owners

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.005, T1071.001, T1105, T1190, T1497.001, T1505.003, T1518.001, T1565.002

IOCs:
File: 6
Domain: 3

Soft:
WordPress

Algorithms:
zip

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная вредоносная программа на WordPress использует wp-settings.php для отравления поисковой системы и внедрения несанкционированного контента, используя ZIP-файлы и запутанные PHP-скрипты. Она адаптирует свой сервер C2 в зависимости от трафика и избегает обнаружения, отключая действия во время обхода поисковой системы, манипулируя SEO путем изменения важных файлов, таких как robots.txt.
-----

Недавнее расследование постоянных перенаправлений на веб-сайте WordPress выявило сложную вредоносную программу, глубоко внедренную в основные файлы сайта, направленную на отравление поисковой системы и внедрение несанкционированного контента. Вредоносная программа была обнаружена по изменениям в файле critical wp-settings.php, в результате чего был обнаружен подозрительный код, предназначенный для манипулирования заголовками HTTP и извлечения вредоносных файлов из ZIP-архива с использованием PHP-оболочки zip://. Это позволило вредоносной программе включить PHP-скрипт, названный в честь скомпрометированного домена, эффективно скрывая свои операции в, казалось бы, безобидном ZIP-файле.

При извлечении PHP-файл был сильно запутан, и его первоначальной функцией было декодирование и выполнение вредоносной полезной нагрузки. Эта вредоносная программа была разработана для создания среды выполнения, адаптации к защищенным соединениям и динамического выбора сервера управления (C2) на основе URL-адреса, к которому осуществляется доступ. Такая адаптивность повысила его устойчивость к попыткам удаления и затруднила полную блокировку, позволяя злоумышленнику предоставлять индивидуальный вредоносный контент в соответствии с посещаемостью веб-сайта.

Чтобы избежать обнаружения, вредоносная программа внедрила меры по отключению своей вредоносной активности в присутствии сканеров поисковых систем, что могло бы предотвратить индексацию скомпрометированного контента. Она выполняла запросы POST для связи с C2, предположительно для отправки информации о состоянии сайта. Основной целью было использование ранжирования в поисковых системах путем манипулирования файлами, связанными с SEO. В частности, были перехвачены запросы на проверку для Google Search Console, что позволило злоумышленнику получить контроль над настройками SEO и перенаправить поисковый трафик на спам-контент, размещенный на взломанном сайте.

Вредоносная программа также изменила важные файлы, такие как robots.txt, и внедрила директиву sitemap, указывающую на контролируемые злоумышленником URL-адреса, что еще больше упростило манипулирование результатами поиска. Сочетание использования ZIP-файлов для включения кода, многоуровневой обфускации и сложных стратегий борьбы с ботами создало серьезную проблему для владельцев сайтов, пытающихся обнаружить и устранить угрозу.

#technique

Помните про картинки в TXT-записях?

А вот и повеселее штука
https://dti.domaintools.com/malware-in-dns/

#ParsedReport #CompletenessMedium
15-07-2025

Unmasking AsyncRAT: Navigating the labyrinth of forks

https://www.welivesecurity.com/en/eset-research/unmasking-asyncrat-navigating-labyrinth-forks/

Report completeness: Medium

Threats:
Asyncrat
Noneuclid_rat
Jasonrat
Xiebrorat
3loshrat
Dcrat
Venomrat
Borat_rat
Lmteamrat
Phoenixrat
Echorat
Password_spray_technique
Quasar_rat
Santarat
Cobalt_strike_tool
Mimikatz_tool
Sharpwifigrabber_tool

Geo:
Ukraine, Chinese

TTPs:
Tactics: 5
Technics: 11

IOCs:
File: 10
Hash: 16

Soft:
Windows service, Discord, SharpUnhooker

Algorithms:
md5, sha256, base64, aes-256

Functions:
InitializeSettings, SetSound

Win API:
pie

Win Services:
MsMpEng

Languages:
javascript

Links:
https://github.com/NYAN-x-CAT
have more...
https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp
https://github.com/quasar/Quasar

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1, code: 6, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AsyncRAT, асинхронный троян для удаленного доступа, выпущенный в 2019 году, обладает функциями кейлоггинга, захвата экрана и кражи учетных данных. Его модульная архитектура позволяет создавать различные продвинутые версии, такие как DcRat и VenomRAT, которые используют такие методы, как AMSI и ETW-исправления для уклонения. Последние версии включают плагины для кражи учетных данных и USB-эксплойтов, что подчеркивает риски, связанные с доступными платформами вредоносного ПО с открытым исходным кодом.
-----

AsyncRAT, или троян асинхронного удаленного доступа, стал важным игроком на рынке вредоносных программ с момента его публичного выпуска на GitHub в 2019 году. Разработанный на C#, AsyncRAT включает в себя широкий спектр функциональных возможностей, типичных для RATs, таких как ведение кейлогга, захват экрана и кража учетных данных. Его открытый исходный код позволил широко адаптировать его, что привело к появлению многочисленных форков, каждый из которых содержит изменения и усовершенствования, которые бросают вызов возможностям обнаружения. Несмотря на то, что он имеет модульную архитектуру, что делает его настраиваемым, влияние оригинального AsyncRAT заметно в таких вариантах, как DcRat и VenomRAT, которые интегрировали более продвинутые технологии.

AsyncRAT имеет некоторое сходство с Quasar RAT, более ранним проектом с похожими основами, особенно в его классах криптографии. Однако AsyncRAT полностью переработан со значительными улучшениями, повышающими его эффективность в борьбе с вредоносными операциями. Центральное место в его развертывании занимают такие варианты, как DcRat, который использует передовые технологии передачи данных с помощью MessagePack и интегрирует методы обхода, такие как AMSI и исправление ETW. Это затрудняет для средств защиты выявление вредоносного поведения и реагирование на него. Среди его дополнительных функций - широкая инфраструктура плагинов, которая поддерживает такие возможности, как доступ к веб-камере, запись с микрофона и даже элементарную функцию вымогательства, использующую шифрование AES-256.

VenomRAT, еще один примечательный форк, по-видимому, черпает вдохновение из DcRat, объединяя в себе множество схожих функциональных возможностей. Хотя некоторые форки, такие как SantaRAT и BoratRAT, по-видимому, нацелены на новые виды использования, а не на реальные угрозы, их широкое распространение указывает на то, что даже забавные версии AsyncRAT могут привлечь внимание киберпреступников.

Анализ асинхронных форков включает в себя изучение их конфигураций, часто содержащих информацию о структуре управления (C&C), которая помогает идентифицировать их происхождение. Ключевые методы идентификации включают проверку того, как зашифрованы конфигурации и какие соглашения об именах используются в коде. В некоторых форках даже появились плагины, нацеленные на USB-устройства, демонстрирующие ряд вредоносных возможностей, встроенных в их дизайн. Например, плагин WormUsb.dll компрометирует исполняемые файлы, удаляя заглушку, содержащую вредоносный код под невинным видом.

Недавние результаты указывают на вариант, представленный в 2024 году, который демонстрирует отличительные соглашения по кодированию наряду со стратегиями локализации, такими как плагин для кражи учетных данных браузера и интеграция инструментов из различных проектов с открытым исходным кодом. Это подчеркивает тенденцию к адаптации, которая еще больше стирает границы между враждебными намерениями и творческим использованием в сфере вредоносных программ.

Распространение AsyncRAT и его форков иллюстрирует опасности, которые представляют доступные платформы вредоносных программ с открытым исходным кодом. По мере того, как киберпреступники используют эти инструменты, они становятся все более искусными в создании сложных атак с минимальными затратами ресурсов, что усиливает необходимость в надежных мерах кибербезопасности для противодействия этому меняющемуся ландшафту угроз.