#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Auto-color - это скрытый бэкдор для Linux, предназначенный для правительственных и академических учреждений, замаскированный под вредоносную утилиту. Он изменяет системные файлы для обеспечения сохраняемости, блокирует связь C2 и использует методы обхода, требующие ручного запуска с правами суперпользователя. Обнаружение включает в себя пользовательские правила в Wazuh для отслеживания конкретных видов вредоносного поведения, таких как изменение файлов и создание библиотек.
-----

Auto-color - это скрытый бэкдор для Linux, предназначенный для правительственных учреждений и университетов в Северной Америке и Азии. Он приписывается неизвестному хакеру и использует различные методы обхода, позволяющие ему сохранять постоянное присутствие в зараженных системах незамеченным. Замаскированная под безобидную утилиту для улучшения цвета, она устанавливает вредоносную библиотеку с именем "libcext.so.2" и переименовывает себя в "/var/log/cross/auto-color" во время последующей установки. Первоначальный вектор заражения вредоносной программы неясен, но она требует ручного запуска на конечных устройствах Linux, как правило, с правами суперпользователя.

При запуске Auto-color изменяет системные файлы для обеспечения сохраняемости, в частности, изменяя файл "/etc/ld.preload". Это позволяет вредоносной программе подключаться к стандартным функциям библиотеки C, способствуя глубокой интеграции с системой и расширяя возможности ее обхода. В частности, Auto-color реализует механизм скрытия командно-контрольных сообщений (C2) путем фильтрации сетевых подключений и манипулирования файлом "/proc/net/tcp", используя динамические IP-адреса, хранящиеся в файлах конфигурации с именами, подобными "/tmp/cross/config-err-XXXXXXXXX".." Вредоносная программа поддерживает шифрование своих сообщений C2, использует обратную оболочку, выполняет произвольные команды и использует функции, подобные руткитам, для сокрытия своих следов, что затрудняет усилия по обнаружению, расследованию или удалению.

Для обнаружения автоцвета в средах Linux с помощью Wazuh можно реализовать ряд пользовательских правил обнаружения в сочетании с SysmonForLinux для расширенного мониторинга журналов. В частности, платформа безопасности Wazuh использует установленные правила обнаружения, связанные с поведением Auto-color, такими как дублирование файлов в "/var/log/cross/" и создание вредоносных библиотечных файлов. Интеграция с модулем мониторинга целостности файлов (FIM) от Wazuh служит для запуска оповещений об изменениях файлов в отслеживаемых каталогах, позволяя идентифицировать присутствие Auto-color с помощью проверки контрольной суммы на соответствие известным вредоносным хэшам.

Платформа обнаружения включает идентификаторы правил, которые сигнализируют о конкретных вредоносных действиях, включая дублирование исполняемого файла (ID 100401), создание вредоносной библиотеки (ID 100402), модификацию файла предварительной загрузки (ID 100403), удаление исходного исполняемого файла (ID 100404) и создание файлов конфигурации для связи C2 (ID 100404). 100405). Эти правила облегчают постоянный мониторинг системы на наличие признаков заражения автоцветами, обеспечивая своевременное оповещение и реагирование на обнаруженные угрозы.

#ParsedReport #CompletenessLow
21-07-2025

ToolShell Campaign: New SharePoint Zero-Day (CVE-2025-53770) Triggers Widespread Exploitation

https://socradar.io/toolshell-sharepoint-zero-day-cve-2025-53770/

Report completeness: Low

Threats:
Toolshell_vuln

Industry:
Government

Geo:
Berlin, Netherlands, Iran, Ireland, Malaysia

CVEs:
CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


ChatGPT TTPs:
do not use without manual check
T1001, T1036, T1047, T1055, T1059.001, T1071.001, T1078, T1087, T1105, T1190, have more...

IOCs:
File: 2
IP: 3
Hash: 3

Soft:
Microsoft SharePoint, Microsoft SharePoint Server, ASP.NET, SharePoint Server, Outlook, Microsoft Defender for Endpoint, Firefox

Languages:
powershell

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-07-19-Microsoft-SharePoint-vulnerabilities-CVE-2025-49704-and-49706.txt
https://gist.github.com/gboddin/bf6ff340022a1e5f02450125409e5277

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE-2025-53770 является критически важным для Microsoft SharePoint для уязвимости нулевого дня, позволяющая удаленное выполнение кода через небезопасной десериализации, с CVSS оценку 9.8. Эксплуатации техники включают обработку входов и используя украденные MachineKeys ASP.NET для постоянного доступа. CISA предписывает внести исправления к 21 июля 2025 года из-за растущего риска использования, особенно очевидного в случае атак, связанных с кампанией ToolShell.
-----

Критическая уязвимость нулевого дня в Microsoft SharePoint, обозначенная как CVE-2025-53770, в настоящее время является объектом целенаправленных атак, позволяя хакерам обходить аутентификацию и выполнять удаленное выполнение кода (RCE) без предварительной аутентификации. Эта уязвимость связана с небезопасной десериализации непроверенных данных и был назначен CVSS оценку 9.8. Злоумышленники могут эксплуатировать его, манипулируя вредоносных входных данных для выполнения произвольных команд дистанционно и получить постоянный доступ через украли MachineKeys ASP.NET . Примечательно, что эта уязвимость основана на проблемах, которые были первоначально исправлены в июле 2025 года, но исследователи выявили существенные упущения в этих исправлениях, что побудило Microsoft выпустить второе исправление, более эффективное.

Агентство кибербезопасности и защиты инфраструктуры США (CISA) внесло CVE-2025-53770 в свой каталог известных эксплуатируемых уязвимостей (KEV), обязав федеральные агентства внедрить исправление к 21 июля 2025 года. Связанная с этим уязвимость CVE-2025-53771, которая имеет более низкую оценку CVSS - 6,3, связана с неправильными ограничениями имен путей в SharePoint.

Использование CVE-2025-53770 было осуществлено в рамках кампании, известной как ToolShell, которая ранее использовала две другие уязвимости SharePoint (CVE-2025-49706, обход аутентификации, и CVE-2025-49704, ошибка при внедрении кода). ToolShell демонстрирует технологию цепочки, с помощью которой злоумышленники могут повысить привилегии и достичь RCE, используя границы доверия. Процесс включает десериализацию вредоносных полезных данных, извлечение криптографических ключей с сервера и создание поддельных полезных данных __VIEWSTATE, которые SharePoint принимает как законные.

О распространенности этой угрозы свидетельствуют недавние сообщения о том, что по меньшей мере 54 различные организации в различных секторах были взломаны с помощью этих уязвимостей. Активные атаки включали загрузку пользовательских .NET модулей и использование украденных ключей, подчеркивая необходимость того, чтобы организации, использующие незащищенные локальные серверы SharePoint, определяли приоритетность применения обновлений для системы безопасности. Текущая статистика показывает, что в Интернете доступно более 16 000 серверов SharePoint, что вызывает серьезную озабоченность в Соединенных Штатах, Иране и ряде других стран.

Несмотря на то, что исправление устраняет возможности дальнейшего использования, оно не аннулирует доступ, полученный злоумышленниками до установки обновлений. Поскольку исправления Microsoft не заменяют украденные криптографические ключи, ранее выполненные вредоносные программы остаются в силе, что позволяет продолжать их использование, если организации не предпримут дополнительные меры безопасности. Рекомендации по устранению неполадок включают применение исправлений, изменение значений machineKey, отключение уязвимых серверов от Интернета и принятие тщательных мер реагирования на инциденты в связи с аномальными действиями в журналах SharePoint server. Ситуация с использованием этих уязвимостей подчеркивает важность строгих мер безопасности и упреждающего реагирования на угрозы для защиты от постоянных хакерских атак.

#ParsedReport #CompletenessMedium
17-07-2025

Scanception: A QRiosity-Driven Phishing Campaign

https://cyble.com/blog/scanception-a-qriosity-driven-phishing-campaign/

Report completeness: Medium

Actors/Campaigns:
Scanception

Threats:
Qshing_technique
Credential_harvesting_technique
Aitm_technique
Spear-phishing_technique

Industry:
Foodtech, Healthcare, Financial

Geo:
Apac, Emea, America

TTPs:
Tactics: 5
Technics: 12

IOCs:
Url: 408
File: 1
Hash: 644

Soft:
Office 365, Selenium, PhantomJS, Burp Suite

Algorithms:
aes, base64, exhibit

Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/tree/main/Scanception\_%20A\_QRiosity-Driven\_Phishing\_Campaign

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по удалению данных "Scanception" использует фишинг с использованием QR-кодов и методы уклонения от получения учетных данных, обходя обнаружение с помощью фишинговых PDF-файлов с низким уровнем обнаружения и целенаправленной социальной инженерии. Он перенаправляет жертв на поддельные страницы входа в Office 365, захватывая не только учетные данные для входа, но и токены 2FA, используя многоэтапный процесс, который повышает сохранность скомпрометированных учетных записей. Службы безопасности должны активно отслеживать IOC и быть бдительными в отношении новых тактик фишинга в различных отраслях.
-----

Текущая кампания по удалению данных "Scanception" использует сложную тактику, сочетающую фишинг на основе QR-кодов с передовыми методами уклонения от получения учетных данных. Эта кампания была выявлена CRIL, которая за три месяца отследила более 600 уникальных фишинговых PDF-файлов и электронных писем, в основном с использованием убедительных предлогов социальной инженерии, имитирующих подлинные корпоративные коммуникации. PDF—файлы предназначены для обеспечения достоверности и часто ориентированы на конкретные отрасли, включая технологии, здравоохранение, производство и BFSI (финансовую), и имеют заметно низкий уровень обнаружения в VirusTotal: почти в 80% случаев они не обнаруживаются.

Атака обычно начинается с фишингового электронного письма, содержащего PDF-файл, в котором получателю предлагается отсканировать QR-код для получения дополнительной информации. Этот метод эффективно обходит традиционные фильтры электронной почты и системы безопасности, перенаправляя жертв на вредоносные сайты, размещенные на законных платформах, таких как YouTube, Google и Cisco. Такое стратегическое злоупотребление авторитетной инфраструктурой повышает вероятность взаимодействия с пользователем, одновременно избегая механизмов обнаружения. Примечательно, что эта кампания повышает свои шансы на успех благодаря точному таргетингу, основанному на отрасли, географии и ролях пользователей.

Как только жертвы открывают PDF-файл, они обнаруживают документы, которые выглядят хорошо оформленными, с официальными логотипами и подробным содержанием, соответствующим их роли. Встроенный QR-код ведет на фишинговую страницу, имитирующую портал входа в Office 365. Чтобы усилить защиту от автоматизированных средств анализа, эти страницы спроектированы таким образом, чтобы обнаруживать такие инструменты; при обнаружении какой-либо автоматизации жертвы перенаправляются с фишингового сайта, что препятствует дальнейшему расследованию.

Фишинговая инфраструктура использует многоэтапный процесс сбора учетных данных, который включает в себя не только первоначальные учетные данные для входа в систему, но и потенциально важные токены двухфакторной аутентификации (2FA). Такой подход "противник посередине" (AITM) позволяет злоумышленникам передавать перехваченные учетные данные непосредственно на законный портал входа в систему Microsoft, обеспечивая длительный доступ к учетным записям жертв. После атаки жертвы могут быть перенаправлены на законные веб-сайты, чтобы еще больше скрыть любые вредоносные действия.

Для Scanception характерна глобально скоординированная стратегия, которая оказала заметное влияние на организации в более чем 70 секторах и охватывает более 50 стран. Усиление тактики фишинга наряду с активным использованием методов защиты от вредоносных программ свидетельствует о значительном изменении в поведении хакеров, что подчеркивает важность принятия упреждающих мер со стороны служб безопасности. Постоянный мониторинг индикаторов компрометации (IOC), анализ цепочек перенаправлений и отслеживание новых тактик фишинга необходимы для борьбы с такими угрозами. Кроме того, составление карты инфраструктуры злоумышленников, мониторинг на предмет подражания бренду и получение информации из скрытых веб-источников могут усилить защиту от этого меняющегося ландшафта рисков.

#ParsedReport #CompletenessMedium
18-07-2025

CryptoJacking is dead: long live CryptoJacking

https://cside.dev/blog/cryptojacking-is-dead-long-live-cryptojacking

Report completeness: Medium

Actors/Campaigns:
Magecart

Victims:
Opencart cms users, Website users

Industry:
E-commerce

Geo:
Usa, Asian

ChatGPT TTPs:
do not use without manual check
T1059.007, T1071.001, T1102, T1190, T1406, T1496

IOCs:
Url: 1
File: 11
Coin: 1
Domain: 2
IP: 2

Soft:
opencart, Chrome, Firefox

Crypto:
monero

Algorithms:
base64

Functions:
_0x6BE7

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака в стиле Magecart, нацеленная на OpenCart, использовала вредоносный JavaScript, karma.js для взлома криптовалюты. В скрипте использовались методы скрытности, такие как проверка веб-сборки и фоновые веб-сервисы, чтобы избежать обнаружения при майнинге Monero. Он заразил более 3500 веб-сайтов и связывался с серверами C2 через WebSockets, что указывает на изощренную тактику уклонения злоумышленников.
-----

Недавний анализ выявил атаку в стиле Magecart, направленную на систему управления контентом OpenCart, для которой характерно использование вредоносного JavaScript для взлома криптовалюты. Эта атака напоминает инцидент с Coinhive в 2017 году, когда майнер Monero был внедрен на веб-сайты без согласия пользователя. После повсеместной блокировки основными браузерами и закрытия Coinhive к 2019 году активность в кампаниях по взлому криптовалют заметно снизилась, а угрозы сместились в сторону программ-вымогателей и кражи учетных данных. Однако в конце 2024 года был обнаружен всплеск, когда поисковый робот обнаружил необычный файл JavaScript, размещенный на подозрительном домене.

Вредоносный скрипт, идентифицированный как karma.js, был запущен с домена trustisimportant.fun, который перенаправлял пользователей на сайт yobox.store. Первоначальные признаки взлома не были обнаружены при стандартном тестировании, без заметной сетевой активности или скачков производительности процессора. Тем не менее, системы искусственного интеллекта, отслеживающие эти угрозы, сочли его вредоносным. При более глубоком исследовании с использованием Chrome DevTools было обнаружено, что скрипт использовал различные скрытые методы для оптимизации своих операций майнинга.

Ключевые стратегии, использованные скриптом, включали проверку поддержки WebAssembly для оценки возможностей устройства и создание фоновых веб-приложений для задач майнинга. Такой подход гарантировал, что процесс майнинга не повлияет на производительность основного потока, эффективно скрывая вредоносную активность как от пользователей, так и от решений по обеспечению безопасности. Скрипт также взаимодействовал с серверами управления (C2) через WebSockets, чтобы получать корректировки параметров майнинга в зависимости от мощности устройства.

Сообщалось, что значительное число веб-сайтов, более 3500, загрузили karma.js сценарий, демонстрирующий широкое воздействие этой атаки. Инфраструктура, связанная с этой операцией, выявила тенденцию, когда злоумышленники разнообразили свою тактику: один и тот же домен поддерживает как крипто-взлом, так и кампании Magecart, которые обычно ассоциируются со скиммингом кредитных карт. Примечательно, что IP-адреса 89.58.14.251 и 104.21.80.1 были идентифицированы как управляющие серверами C2, которые являются центральными для этой угрозы. Этот инцидент подчеркивает меняющийся ландшафт веб-хакеров, где злоумышленники применяют все более изощренные методы, чтобы избежать обнаружения, используя при этом уязвимые веб-платформы.

#ParsedReport #CompletenessHigh
21-07-2025

Proxy Trickster operates infrastructure: 24/7 and globally

https://rt-solar.ru/solar-4rays/blog/5714/

Report completeness: High

Actors/Campaigns:
Proxy_trickster (motivation: financially_motivated, cyber_criminal)
Shedding_zmiy

Threats:
Xmrig_miner
Gs-netcat
Masscan_tool
Opendir_technique
Iproyal_pawns_tool
Traffmonetizer_tool
Proxyjacking_technique
Gsocket_tool
Nircmd_tool

Victims:
It companies, Unix systems

Industry:
Financial

Geo:
South africa, Azerbaijan, Usa, China, Great britain, France, Russia, Ukraine, Portugal, Russian federation, United kingdom, Germany

TTPs:
Tactics: 6
Technics: 18

IOCs:
IP: 11
File: 18
Hash: 70
Domain: 1
Url: 3
Path: 4

Soft:
Docker, Selenium, Unix, crontab, Qemu, Systemd, Linux

Algorithms:
sha1, md5, base64, sha256

Functions:
install_repocket, install_repocket_arm, install_psx86, install_psarm7, install_psaarch64, install_psarm6, install_psdk64, install_psdkarm7, install_psdkaarch64, install_psdkarm6, have more...

Languages:
powershell, golang, php

Platforms:
arm, amd64, x64, intel

Links:
https://github.com/robertdavidgraham/masscan
https://github.com/hackerschoice/gsocket/blob/master/deploy/deploy.sh
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2024 года группа Proxy Trickster нацелилась на майнинг криптовалют и прокси-хакинг, используя уязвимости в таких сервисах, как Selenium Grid, в 58 странах. Их скрытая тактика включает замену системных утилит пользовательскими скриптами, использование автоматизации для постоянного доступа и использование Docker для операций. В рекомендациях подчеркивается необходимость своевременного исправления уязвимостей и мониторинга необычных процессов.
-----

В марте 2024 года команда Solar 4RAYS раскрыла инцидент с информационной безопасностью в ИТ-компании, показав, что злоумышленники, обозначенные как Proxy Trickster, были нацелены в первую очередь на майнинг криптовалют и взлом прокси. Злоумышленники использовали уникальные методы уклонения и создали сложную архитектуру, использующую автоматизацию и скрипты. Их действия повлияли на серверы по всему миру, используя известные уязвимости в широко используемых сервисах, таких как Selenium Grid, и затронули сотни систем в 58 странах, включая такие крупные экономики, как США, Германия и Китай.

Методология атаки Proxy Trickster включает в себя сложную тактику скрытности, в частности замену стандартных системных утилит, таких как ps, pstree и pkill, на пользовательские скрипты. Такой подход позволяет группе эффективно маскировать вредоносные процессы, позволяя осуществлять скрытый майнинг и взлом прокси-серверов. Многоуровневая автоматизация используется с помощью ряда сценариев процессов, которые получают начальный доступ через плохо защищенные учетные записи. Экземпляры устанавливаются в стандартных папках, таких как /usr/bin/defunct, и используют модифицированный сценарий deploy.sh и удаленный доступ через gs-netcat.

Стратегия монетизации группы в значительной степени зависит от прокси-взлома. Они получают доход, продавая скомпрометированный трафик через такие платформы, как Packetshare.io и Pawns.app, что позволяет получать доход, который превосходит традиционные методы добычи криптовалюты, хотя и остается скромным. Инструментарий Proxy Trickster включает в себя несанкционированную установку утилит на виртуальные машины и гипервизоры, что повышает объем и эффективность их майнинга.

С февраля 2025 года атаки расширились благодаря внедрению модифицированного скрипта deploy.sh, который создает исполняемые файлы, замаскированные под безопасные сервисы, и дополнительно маскирует вредоносную полезную нагрузку. Постоянство их атак очевидно, поскольку они устанавливают задания cron для обеспечения постоянного выполнения своих скриптов, а использование наборов для контейнеризации указывает на переход к более надежным методам ведения своих операций.

Технические данные указывают на использование методологий, которые отражают законные методы управления ИТ, такие как запуск процессов в контейнерах Docker. Кроме того, группа изучает возможности интеграции своих инструментов с имеющимися в системе функциональными возможностями, повышая как автоматизацию, так и скрытность. Их деятельность вызывает опасения по поводу будущих атак, поскольку их постоянный доступ к скомпрометированным системам может заложить основу для более разрушительных действий в будущем.

Чтобы снизить риски, связанные с Proxy Trickster, важнейшие рекомендации включают своевременное применение исправлений для устранения известных уязвимостей в общедоступных службах и мониторинг необычных контейнеров и процессов Docker, особенно тех, которые пытаются взаимодействовать с системными ресурсами неожиданным образом. Характер их атак подчеркивает важность поддержания бдительных мер безопасности против появляющихся хакеров, которые используют как хорошо известные уязвимости, так и сложные методы автоматизации.

#ParsedReport #CompletenessMedium
19-07-2025

SharePoint 0-day uncovered (CVE-2025-53770)

https://research.eye.security/sharepoint-under-siege/

Report completeness: Medium

Threats:
Toolshell_vuln
Sharpyshell
Ysoserial_tool

Geo:
Berlin

CVEs:
CVE-2021-28474 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_foundation (2013)
- microsoft sharepoint_server (2016, 2019)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


ChatGPT TTPs:
do not use without manual check
T1005, T1059.006, T1071.001, T1078, T1190, T1505.003, T1546.008, T1552.002, T1556.003, T1559.001, have more...

IOCs:
File: 13
Command: 1
Hash: 1
Coin: 1
IP: 4

Soft:
ADFS, SharePoint server, Azure AD, ASP.NET, curl, SharePoint server ASP.NET, Outlook

Algorithms:
sha256, base64

Functions:
Set-Content, GetType, GetMethod

Languages:
powershell

Platforms:
x64

Links:
https://github.com/pwntester/ysoserial
have more...
https://github.com/antonioCoco/SharPyShell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
18 июля 2025 года уязвимости удаленного выполнения кода CVE-2025-53770 и CVE-2025-53771 в SharePoint были использованы с помощью вредоносных aspx-файлов. Уязвимость ToolShell извлекает криптографические ключи, минуя механизмы аутентификации, что создает риски для связанных служб. Администраторам настоятельно рекомендуется исправлять и заменять криптографические ключи для устранения угроз.
-----

18 июля 2025 года была начата серьезная эксплуатация недавно обнаруженных уязвимостей удаленного выполнения кода (RCE) на локальных серверах SharePoint, которые были идентифицированы Eye Security и позже классифицированы Microsoft как CVE-2025-53770 и CVE-2025-53771. Метод использования был обнаружен с помощью подозрительного сообщения о цепочке процессов, связанного с загруженным вредоносным aspx-файлом, которое указывало на уязвимость удаленного выполнения кода без проверки подлинности, а не на атаку на основе учетных данных. Уязвимый сервер SharePoint использовал гибридную ADFS и был неправильно настроен, что создало окно для использования.

Расследования показали, что эта уязвимость нулевого дня была вызвана цепочкой ранее выявленных ошибок, продемонстрированных компанией Code White GmbH, которые были разделены на две конкретные уязвимости, представленные на Pwn2Own в Берлине: CVE-2025-49706 и CVE-2025-49704. Эксплойт, получивший название ToolShell, позволял злоумышленникам извлекать криптографические секретные ключи с сервера SharePoint с помощью специально созданного файла (spinstall0.aspx), который не функционировал как обычная веб-оболочка, а вместо этого вызывал внутренние методы .NET для доступа к конфиденциальным данным.

Эксплойт ToolShell использует обработку десериализованных данных в SharePoint с помощью параметра __VIEWSTATE, который позволяет злоумышленникам создавать вредоносно подписанные полезные файлы после получения validationKey — критической части данных, необходимой для аутентификации запросов пользователей. Утечка этого ключа позволяет злоумышленникам генерировать действительные токены, которые позволяют использовать RCE, не полагаясь на украденные учетные данные, эффективно обходя механизмы аутентификации, такие как MFA или SSO. Этот подход повторяет уязвимости, выявленные ранее в CVE-2021-28474, но объединенные в современную цепочку эксплойтов с улучшенной скрытностью и стойкостью.

В ответ на эти выводы корпорация Майкрософт признала факт активного использования уязвимости и начала предоставлять исправления для некоторых версий SharePoint. Однако следует подчеркнуть, что простого применения исправлений недостаточно; администраторы также должны чередовать криптографические ключи, используемые серверами SharePoint, для полного устранения потенциальных угроз, поскольку скомпрометированные ключи могут позволить злоумышленникам продолжать свои операции даже после установки исправлений.

Учитывая срочный характер этой уязвимости, правозащитникам настоятельно рекомендуется действовать незамедлительно, предпринимая шаги по устранению неполадок и проверяя свои системы на соответствие этому сохраняющемуся риску. Атака была направлена, в частности, на извлечение машинных ключей ASP.NET, что может облегчить дальнейший несанкционированный доступ к среде SharePoint и создать возможности для горизонтального перемещения по сети, потенциально ставя под угрозу такие взаимосвязанные службы, как Outlook, Teams и OneDrive.

#ParsedReport #CompletenessHigh
21-07-2025

Rumble in the jungle: APT41s new target in Africa

https://securelist.com/apt41-in-africa/116986/

Report completeness: High

Actors/Campaigns:
Winnti (motivation: cyber_espionage)

Threats:
Wmiexec_tool
Impacket_tool
Atexec_tool
Cobalt_strike_tool
Dll_sideloading_technique
Credential_harvesting_technique
Pillager_tool
Mobaxterm_tool
Mof_obfuscation_technique
Rawcopy_tool
Mimikatz_tool
Lsadump_tool
Neo-regeorg_tool
Process_injection_technique
Credential_dumping_technique
Dll_hijacking_technique

Victims:
Government it services, Telecom providers, Energy providers, Educational institutions, Healthcare organizations, It companies, Energy companies

Industry:
Government, Energy, Healthcare, Telco

Geo:
China, Japanese, Japan, Korea, Korean, Taiwan, African, Africa, Chinese

TTPs:
Tactics: 11
Technics: 34

IOCs:
File: 29
Path: 4
Domain: 5
Hash: 17
IP: 2
Url: 7

Soft:
SharePoint server, Microsoft Edge, ASP.NET, windows service

Algorithms:
md5

Functions:
DllEntryPoint

Win Services:
TmPfw

Languages:
java, powershell, javascript

Platforms:
intel

YARA: Found
SIGMA: Found

Links:
https://github.com/L-codes/Neo-reGeorg
have more...
https://github.com/jschicht/RawCopy
https://github.com/microsoft/Xbox-ATG-Samples/blob/main/PCSamples/Graphics/SimpleHDR\_PC12/Readme.md

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 8, dump: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4