#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2024 года группа Proxy Trickster нацелилась на майнинг криптовалют и прокси-хакинг, используя уязвимости в таких сервисах, как Selenium Grid, в 58 странах. Их скрытая тактика включает замену системных утилит пользовательскими скриптами, использование автоматизации для постоянного доступа и использование Docker для операций. В рекомендациях подчеркивается необходимость своевременного исправления уязвимостей и мониторинга необычных процессов.
-----

В марте 2024 года команда Solar 4RAYS раскрыла инцидент с информационной безопасностью в ИТ-компании, показав, что злоумышленники, обозначенные как Proxy Trickster, были нацелены в первую очередь на майнинг криптовалют и взлом прокси. Злоумышленники использовали уникальные методы уклонения и создали сложную архитектуру, использующую автоматизацию и скрипты. Их действия повлияли на серверы по всему миру, используя известные уязвимости в широко используемых сервисах, таких как Selenium Grid, и затронули сотни систем в 58 странах, включая такие крупные экономики, как США, Германия и Китай.

Методология атаки Proxy Trickster включает в себя сложную тактику скрытности, в частности замену стандартных системных утилит, таких как ps, pstree и pkill, на пользовательские скрипты. Такой подход позволяет группе эффективно маскировать вредоносные процессы, позволяя осуществлять скрытый майнинг и взлом прокси-серверов. Многоуровневая автоматизация используется с помощью ряда сценариев процессов, которые получают начальный доступ через плохо защищенные учетные записи. Экземпляры устанавливаются в стандартных папках, таких как /usr/bin/defunct, и используют модифицированный сценарий deploy.sh и удаленный доступ через gs-netcat.

Стратегия монетизации группы в значительной степени зависит от прокси-взлома. Они получают доход, продавая скомпрометированный трафик через такие платформы, как Packetshare.io и Pawns.app, что позволяет получать доход, который превосходит традиционные методы добычи криптовалюты, хотя и остается скромным. Инструментарий Proxy Trickster включает в себя несанкционированную установку утилит на виртуальные машины и гипервизоры, что повышает объем и эффективность их майнинга.

С февраля 2025 года атаки расширились благодаря внедрению модифицированного скрипта deploy.sh, который создает исполняемые файлы, замаскированные под безопасные сервисы, и дополнительно маскирует вредоносную полезную нагрузку. Постоянство их атак очевидно, поскольку они устанавливают задания cron для обеспечения постоянного выполнения своих скриптов, а использование наборов для контейнеризации указывает на переход к более надежным методам ведения своих операций.

Технические данные указывают на использование методологий, которые отражают законные методы управления ИТ, такие как запуск процессов в контейнерах Docker. Кроме того, группа изучает возможности интеграции своих инструментов с имеющимися в системе функциональными возможностями, повышая как автоматизацию, так и скрытность. Их деятельность вызывает опасения по поводу будущих атак, поскольку их постоянный доступ к скомпрометированным системам может заложить основу для более разрушительных действий в будущем.

Чтобы снизить риски, связанные с Proxy Trickster, важнейшие рекомендации включают своевременное применение исправлений для устранения известных уязвимостей в общедоступных службах и мониторинг необычных контейнеров и процессов Docker, особенно тех, которые пытаются взаимодействовать с системными ресурсами неожиданным образом. Характер их атак подчеркивает важность поддержания бдительных мер безопасности против появляющихся хакеров, которые используют как хорошо известные уязвимости, так и сложные методы автоматизации.

#ParsedReport #CompletenessMedium
19-07-2025

SharePoint 0-day uncovered (CVE-2025-53770)

https://research.eye.security/sharepoint-under-siege/

Report completeness: Medium

Threats:
Toolshell_vuln
Sharpyshell
Ysoserial_tool

Geo:
Berlin

CVEs:
CVE-2021-28474 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_foundation (2013)
- microsoft sharepoint_server (2016, 2019)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


ChatGPT TTPs:
do not use without manual check
T1005, T1059.006, T1071.001, T1078, T1190, T1505.003, T1546.008, T1552.002, T1556.003, T1559.001, have more...

IOCs:
File: 13
Command: 1
Hash: 1
Coin: 1
IP: 4

Soft:
ADFS, SharePoint server, Azure AD, ASP.NET, curl, SharePoint server ASP.NET, Outlook

Algorithms:
sha256, base64

Functions:
Set-Content, GetType, GetMethod

Languages:
powershell

Platforms:
x64

Links:
https://github.com/pwntester/ysoserial
have more...
https://github.com/antonioCoco/SharPyShell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
18 июля 2025 года уязвимости удаленного выполнения кода CVE-2025-53770 и CVE-2025-53771 в SharePoint были использованы с помощью вредоносных aspx-файлов. Уязвимость ToolShell извлекает криптографические ключи, минуя механизмы аутентификации, что создает риски для связанных служб. Администраторам настоятельно рекомендуется исправлять и заменять криптографические ключи для устранения угроз.
-----

18 июля 2025 года была начата серьезная эксплуатация недавно обнаруженных уязвимостей удаленного выполнения кода (RCE) на локальных серверах SharePoint, которые были идентифицированы Eye Security и позже классифицированы Microsoft как CVE-2025-53770 и CVE-2025-53771. Метод использования был обнаружен с помощью подозрительного сообщения о цепочке процессов, связанного с загруженным вредоносным aspx-файлом, которое указывало на уязвимость удаленного выполнения кода без проверки подлинности, а не на атаку на основе учетных данных. Уязвимый сервер SharePoint использовал гибридную ADFS и был неправильно настроен, что создало окно для использования.

Расследования показали, что эта уязвимость нулевого дня была вызвана цепочкой ранее выявленных ошибок, продемонстрированных компанией Code White GmbH, которые были разделены на две конкретные уязвимости, представленные на Pwn2Own в Берлине: CVE-2025-49706 и CVE-2025-49704. Эксплойт, получивший название ToolShell, позволял злоумышленникам извлекать криптографические секретные ключи с сервера SharePoint с помощью специально созданного файла (spinstall0.aspx), который не функционировал как обычная веб-оболочка, а вместо этого вызывал внутренние методы .NET для доступа к конфиденциальным данным.

Эксплойт ToolShell использует обработку десериализованных данных в SharePoint с помощью параметра __VIEWSTATE, который позволяет злоумышленникам создавать вредоносно подписанные полезные файлы после получения validationKey — критической части данных, необходимой для аутентификации запросов пользователей. Утечка этого ключа позволяет злоумышленникам генерировать действительные токены, которые позволяют использовать RCE, не полагаясь на украденные учетные данные, эффективно обходя механизмы аутентификации, такие как MFA или SSO. Этот подход повторяет уязвимости, выявленные ранее в CVE-2021-28474, но объединенные в современную цепочку эксплойтов с улучшенной скрытностью и стойкостью.

В ответ на эти выводы корпорация Майкрософт признала факт активного использования уязвимости и начала предоставлять исправления для некоторых версий SharePoint. Однако следует подчеркнуть, что простого применения исправлений недостаточно; администраторы также должны чередовать криптографические ключи, используемые серверами SharePoint, для полного устранения потенциальных угроз, поскольку скомпрометированные ключи могут позволить злоумышленникам продолжать свои операции даже после установки исправлений.

Учитывая срочный характер этой уязвимости, правозащитникам настоятельно рекомендуется действовать незамедлительно, предпринимая шаги по устранению неполадок и проверяя свои системы на соответствие этому сохраняющемуся риску. Атака была направлена, в частности, на извлечение машинных ключей ASP.NET, что может облегчить дальнейший несанкционированный доступ к среде SharePoint и создать возможности для горизонтального перемещения по сети, потенциально ставя под угрозу такие взаимосвязанные службы, как Outlook, Teams и OneDrive.

#ParsedReport #CompletenessHigh
21-07-2025

Rumble in the jungle: APT41s new target in Africa

https://securelist.com/apt41-in-africa/116986/

Report completeness: High

Actors/Campaigns:
Winnti (motivation: cyber_espionage)

Threats:
Wmiexec_tool
Impacket_tool
Atexec_tool
Cobalt_strike_tool
Dll_sideloading_technique
Credential_harvesting_technique
Pillager_tool
Mobaxterm_tool
Mof_obfuscation_technique
Rawcopy_tool
Mimikatz_tool
Lsadump_tool
Neo-regeorg_tool
Process_injection_technique
Credential_dumping_technique
Dll_hijacking_technique

Victims:
Government it services, Telecom providers, Energy providers, Educational institutions, Healthcare organizations, It companies, Energy companies

Industry:
Government, Energy, Healthcare, Telco

Geo:
China, Japanese, Japan, Korea, Korean, Taiwan, African, Africa, Chinese

TTPs:
Tactics: 11
Technics: 34

IOCs:
File: 29
Path: 4
Domain: 5
Hash: 17
IP: 2
Url: 7

Soft:
SharePoint server, Microsoft Edge, ASP.NET, windows service

Algorithms:
md5

Functions:
DllEntryPoint

Win Services:
TmPfw

Languages:
java, powershell, javascript

Platforms:
intel

YARA: Found
SIGMA: Found

Links:
https://github.com/L-codes/Neo-reGeorg
have more...
https://github.com/jschicht/RawCopy
https://github.com/microsoft/Xbox-ATG-Samples/blob/main/PCSamples/Graphics/SimpleHDR\_PC12/Readme.md

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 8, dump: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа APT41, говорящая на китайском языке, атаковала ИТ-службы африканского правительства, используя жестко запрограммированные внутренние данные в своем вредоносном ПО. Они использовали такие инструменты, как Cobalt Strike и троянец C#, для перемещения по сети, утечки данных и выполнения команд, используя учетные записи с высокими привилегиями и модифицированные двоичные файлы, чтобы избежать обнаружения.
-----

Команда Касперского по управляемому обнаружению и реагированию (MDR) сообщила о целенаправленной кибератаке, организованной китайскоязычной хакерской группой APT41 против государственных ИТ-служб в Африке, регионе, ранее менее подверженном влиянию этой группировки. Злоумышленники использовали в своем вредоносном ПО жестко запрограммированные данные, включая названия внутренних служб, IP-адреса и прокси-серверы. Одним из примечательных серверов управления (C2) был скомпрометированный сервер SharePoint, расположенный в инфраструктуре жертвы.

В ходе анализа команда MDR обнаружила подозрительное поведение, связанное с использованием модулей WmiExec и Atexec из инструментария Impacket. Эта активность была вызвана взломом хоста, работающего под учетной записью службы, который подключился к телеметрии для определения источника заражения. Злоумышленники использовали две доменные учетные записи с высокими привилегиями — одну как локального администратора, а другую как учетную запись решения для резервного копирования с правами администратора домена — для облегчения горизонтального перемещения по сети и выполнения команд протокола SMB для распространения инструментов.

APT41, в частности, использовала Cobalt Strike, распространенный инструмент тестирования на проникновение, для передачи данных C2 в скомпрометированных системах. Они распространяли Cobalt Strike в виде зашифрованного файла, который затем расшифровывался с помощью вредоносной библиотеки DLL, внедренной в законные приложения. Эта библиотека DLL была создана для поиска зашифрованной полезной информации в файлах, расположенных в том же каталоге. Злоумышленники использовали различные легальные приложения, переименовывая и заменяя компоненты, чтобы скрыть свою деятельность, что указывает на адаптацию к среде, в которой они находятся.

Кроме того, злоумышленники внедрили троянскую программу на C# с именем agents.exe или agentx.exe для выполнения команд и утечки данных, используя веб-оболочку CommandHandler.aspx на сервере SharePoint в качестве средства управления. Эти агенты способствовали разведке и сбору данных, ориентируясь на конфиденциальную информацию, такую как история посещений браузера и различные типы документов. Они отправляли эти данные обратно на свой сервер C2 через указанные конечные веб-точки, реализуя ошибочные резервные команды, когда основной механизм управления был недоступен.

Чтобы еще больше расширить свои возможности, злоумышленники использовали утилиты для кражи данных, включая модифицированную версию инструмента Pillager для сбора учетных данных и конфигураций, которые они скомпилировали во вредоносную библиотеку динамических ссылок (DLL). Mimikatz также использовался в модифицированном формате DLL для сброса учетных данных, загружаемых через законное Java-приложение.

Методы злоумышленников включали манипулирование инструментами и двоичными файлами, чтобы избежать обнаружения и обеспечить постоянство, что было продемонстрировано на примере создания служб на скомпрометированных хостах. Инфраструктура C2 включала домены, похожие на те, которые использовались в предыдущих операциях APT41. Применяемый набор тактик, методов и процедур (TTP) продемонстрировал адаптивность и изощренность APT41, подчеркнув необходимость комплексных мер безопасности, постоянного мониторинга и строгого контроля доступа в целевых организациях.

#technique

BIDI Swap: Unmasking the Art of URL Misleading with Bidirectional Text Tricks

https://www.varonis.com/blog/bidi-swap

#ParsedReport #CompletenessLow
21-07-2025

ToolShell: A SharePoint RCE chain actively exploited

https://www.varonis.com/blog/toolshell-sharepoint-rce

Report completeness: Low

Threats:
Toolshell_vuln
Sharppyshell_tool
Ysoserial_tool

Victims:
Organizations, Enterprises

Industry:
Military

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-49706 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1059.001, T1078, T1105, T1133, T1190, T1505.003

IOCs:
File: 3
IP: 3
Hash: 6

Soft:
SharePoint Server, ASP.NET, Twitter

Functions:
It

Languages:
powershell

Links:
https://github.com/pwntester/ysoserial.net
https://github.com/antonioCoco/SharPyShell
https://github.com/kaizensecurity/CVE-2025-53770/tree/master
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ToolShell использует уязвимости в SharePoint (CVE-2025-49706 и CVE-2025-49704) для обеспечения несанкционированного доступа и удаленного выполнения кода без учетных данных. Злоумышленники манипулируют заголовком ссылки для загрузки веб-оболочек, извлечения конфиденциальных ключей и выполнения команд. Угроза усугубляется непатченными системами, особенно старыми версиями SharePoint, что требует немедленной установки исправлений и принятия мер безопасности.
-----

ToolShell представляет собой значительную цепочку эксплойтов, нацеленных на уязвимости SharePoint, что позволяет злоумышленникам получать доступ к корпоративным средам без проверки подлинности. Эта оперативная и масштабируемая угроза использует две известные уязвимости — CVE-2025-49706, которая обходит аутентификацию, и CVE-2025-49704, облегчающую запись произвольных файлов, что позволяет выполнять полный удаленный код без необходимости использования учетных данных. Кроме того, CVE-2025-53770, идентифицированный с помощью фаззинга, является вариантом, который расширяет возможности атаки, поскольку он остается не исправленным в более старых версиях SharePoint.

Основной механизм эксплойта заключается в манипулировании заголовком ссылки для получения доступа к критически важным страницам SharePoint. Используя CVE-2025-49706, злоумышленники могут обойти проверку подлинности. Впоследствии они могут использовать CVE-2025-49704 для загрузки вредоносных файлов, таких как веб-оболочки, в каталоги, подобные /LAYOUTS/15/. После развертывания злоумышленники отправляют HTTP-запросы на загруженную веб-оболочку .aspx, которая взаимодействует с сервером SharePoint для извлечения конфиденциальных криптографических ключей, включая validationKey и decryptionKey. С помощью этих ключей злоумышленники могут генерировать допустимые значения __VIEWSTATE для манипулирования обработкой SharePoint, потенциально выполняя произвольные команды, включая PowerShell.

Ситуация с угрозами усугубляется большим количеством незащищенных серверов SharePoint, выявленных с помощью Shodan и Censys, особенно тех, которые размещены на Windows Server 2016 или более ранних версиях. Эти системы очень уязвимы и стали основной мишенью из-за отсутствия на них последних обновлений для системы безопасности. Эксплойт ToolShell работает с низким уровнем обнаружения; как только злоумышленник установил веб-оболочку, он не осуществляет активного обмена исходящими данными, что сводит к минимуму риск обнаружения обычными системами безопасности. В результате злоумышленники могут получить постоянный доступ, не вызывая тревоги, что позволяет им глубже проникнуть в сеть организации.

Организации, в которых включен интерфейс проверки на наличие вредоносных программ (AMSI), могут подвергаться меньшему риску определенных вредоносных действий, связанных с этим эксплойтом, а среды, оснащенные решениями для обнаружения конечных точек и реагирования на них (EDR), могут обнаруживать аномалии, связанные с несанкционированными процессами или активностью веб-оболочки. Однако одних механизмов обнаружения недостаточно для устранения этой угрозы. Организациям, использующим SharePoint, необходимо своевременно вносить исправления в свои системы, особенно тем, кто все еще использует такие версии, как SharePoint Server 2016 или более ранние, поскольку их уязвимость возрастает.

Для обеспечения безопасности организации должны проводить ротацию ASP.NET вводим машинные ключи при подозрении на компрометацию и сканируем на наличие индикаторов компрометации (IOCs). В долгосрочной перспективе предстоящее прекращение поддержки готовых продуктов SharePoint в июле 2026 года требует активного подхода к устранению этих уязвимостей. Планирование миграции и усиление защиты от устаревающих инфраструктурных угроз будут иметь решающее значение, поскольку ожидается, что в будущем злоумышленники усилят свои атаки.

#ParsedReport #CompletenessMedium
22-07-2025

DeerStealer Malware Delivered Via Weaponized .LNK Using LOLBin Tools

https://cybersecuritynews.com/deerstealer-malware-delivered/

Report completeness: Medium

Threats:
Deerstealer
Lolbin_technique
Interlock

Industry:
Aerospace

Geo:
Iran

TTPs:

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1140, T1204.002, T1566.002

IOCs:
File: 3
Domain: 1
Hash: 2

Soft:
macos

Algorithms:
sha256, base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая фишинговая кампания распространяет вредоносное ПО DeerStealer через .Файлы LNK, используя методы LoLBins, которые используют двоичные файлы Windows, такие как mshta.exe. Многоэтапная атака использует динамическое разрешение пути и кодирование, чтобы избежать обнаружения, демонстрируя сложную стратегию уклонения.
-----

Была выявлена новая фишинговая кампания, которая распространяет вредоносное ПО DeerStealer с помощью специальных файлов .LNK, используя метод, называемый LOLBin. Этот метод использует установленные двоичные файлы Windows, повышая способность вредоносного ПО обходить традиционные средства защиты. Вредоносная программа маскируется под PDF-документ, в частности, под названием "Report.lnk", и инициирует сложную многоэтапную атаку, которая включает в себя mshta.exe, легальный хостинг HTML-приложений Microsoft, в рамках своей реализации.

Цепочка выполнения атаки тщательно структурирована и состоит из пяти этапов: запускается с помощью файла .lnk, затем процесс расширяется с помощью mshta.exe, cmd.exe, PowerShell и, наконец, доставляет полезную нагрузку DeerStealer. Атака особенно примечательна тем, что в ней используется динамическое разрешение пути для mshta.exe, расположенного в каталоге System32. Он запускает этот исполняемый файл с флагами, которые следуют за запутанными строками Base64, используя сложный механизм декодирования символов, который обрабатывает пары символов, преобразует их из шестнадцатеричных в ASCII и использует командлет PowerShell Invoke-Expression (IEX) для создания исполняемых сценариев. Этот метод позволяет скрыть вредоносные операции до их выполнения, что делает инструменты статического анализа неэффективными.

Аналитики обратили внимание на сложность вредоносного ПО DeerStealer и его использование передовых методов уклонения, в частности, на использование метода MITRE ATT&CK T1218.005, который относится к неправильному использованию mshta.exe. Способность вредоносной программы динамически выполнять логику, сохраняя при этом постоянство, является неотъемлемой частью ее работы; она также использует легальный просмотрщик PDF-файлов (Adobe Acrobat) в качестве вводящего в заблуждение средства отвлечения от происходящих вредоносных действий. Эта кампания демонстрирует значительный прогресс в стратегиях доставки вредоносных программ, демонстрируя умение хакеров использовать широко используемые системные инструменты в неблаговидных целях.

#ParsedReport #CompletenessLow
22-07-2025

NET RFQ: Request for Quote Scammers Casting Wide Net to Steal Real Goods

https://www.proofpoint.com/us/blog/threat-insight/net-rfq-request-quote-scammers-casting-wide-net-steal-real-goods

Report completeness: Low

Threats:
Bec_technique

Victims:
Businesses, Corporations, Colleges, Small to midsized city governments

Industry:
Transport, Government, Financial, Education, Healthcare

Geo:
Ghana, African, Nigeria

ChatGPT TTPs:
do not use without manual check
T1078, T1566.001, T1566.002, T1584.001, T1585.001, T1586

IOCs:
Domain: 89
File: 4

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Мошенники, участвующие в запросах предложений, используют финансирование поставщиков для кражи дорогостоящих товаров, в частности электроники, часто используя украденную корпоративную информацию, чтобы выдавать себя за законных поставщиков. Мошенники запрашивают котировки и используют фишинговые схемы для получения конфиденциальных бизнес-данных, в конечном итоге приобретая товары под надуманным предлогом, обычно ориентируясь на развивающиеся регионы. Доставка осуществляется через посредников, а мулы участвуют в распределении украденных товаров.
-----

Мошенничество с запросами ценовых предложений (RFQ) развивается с целью использования возможностей финансирования поставщиков, в частности, с использованием чистых условий финансирования (15, 30, 45 дней) для облегчения кражи дорогостоящих товаров, преимущественно электроники. В таких аферах, как правило, участвуют мошенники, выдающие себя за агентов по закупкам для законных предприятий или организаций, использующие украденную или общедоступную корпоративную информацию для повышения доверия. Участники создают убедительные электронные письма с персонализированными подписями, имитирующими реальный корпоративный бренд, часто ориентируясь на специализированные отрасли, которые размещают конкретные заказы.

Мошенники вступают в контакт, запрашивая цены на продукты, а затем используют эти взаимодействия для внедрения вредоносных программ или фишинговых схем. После получения положительного ответа они часто инициируют запрос на чистое финансирование, который включает предоставление конфиденциальной деловой информации, такой как идентификационный номер работодателя (EIN) и номер DUNS, либо запрашивают подтверждающие документы для обработки. Их конечная цель - обеспечить сохранность товаров под предлогом оплаты в оговоренные сроки, при этом заказчиков часто просят доставить оборудование, которое считается законным и пользуется большим спросом в развивающихся регионах.

Оперативная структура таких мошенников, как правило, включает в себя сеть экспедиторских служб и мулов, которые облегчают получение и перераспределение украденных товаров. Сотрудничая с известными посредниками по доставке, мошенники часто отправляют товары в такие страны, как Нигерия и Гана, пользуясь преимуществами местных служб, но подвергая риску целостность отправлений. Вовлеченность мулов различна; некоторые из них могут быть невольными участниками, в то время как другие являются активными соучастниками, мотивированными личными финансовыми потребностями или связями с преступниками.

Постоянные усилия по отслеживанию и устранению нарушений, включая успешное удаление доменов, свидетельствуют о продолжающейся борьбе исследователей в области кибербезопасности с этими мошенническими предложениями. Критически важным для снижения рисков, связанных с этими мошенничествами, является бдительность при проверке законности запросов на финансирование. Организациям настоятельно рекомендуется проявлять осторожность в отношении срочных финансовых запросов, проверять адреса доставки и подтверждать законность заявлений по прямым каналам связи. Важно тщательно проверять источники электронной почты на предмет подлинности и выявлять любые несоответствия, которые указывают на мошеннические действия.

#ParsedReport #CompletenessLow
22-07-2025

PoisonSeed downgrading FIDO key authentications to fetch user accounts

https://expel.com/blog/poisonseed-downgrading-fido-key-authentications-to-fetch-user-accounts/

Report completeness: Low

Actors/Campaigns:
Poisonseed

Threats:
Aitm_technique

ChatGPT TTPs:
do not use without manual check
T1078, T1111, T1556.003, T1557.002, T1566.001

IOCs:
Domain: 2