#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа APT41, говорящая на китайском языке, атаковала ИТ-службы африканского правительства, используя жестко запрограммированные внутренние данные в своем вредоносном ПО. Они использовали такие инструменты, как Cobalt Strike и троянец C#, для перемещения по сети, утечки данных и выполнения команд, используя учетные записи с высокими привилегиями и модифицированные двоичные файлы, чтобы избежать обнаружения.
-----

Команда Касперского по управляемому обнаружению и реагированию (MDR) сообщила о целенаправленной кибератаке, организованной китайскоязычной хакерской группой APT41 против государственных ИТ-служб в Африке, регионе, ранее менее подверженном влиянию этой группировки. Злоумышленники использовали в своем вредоносном ПО жестко запрограммированные данные, включая названия внутренних служб, IP-адреса и прокси-серверы. Одним из примечательных серверов управления (C2) был скомпрометированный сервер SharePoint, расположенный в инфраструктуре жертвы.

В ходе анализа команда MDR обнаружила подозрительное поведение, связанное с использованием модулей WmiExec и Atexec из инструментария Impacket. Эта активность была вызвана взломом хоста, работающего под учетной записью службы, который подключился к телеметрии для определения источника заражения. Злоумышленники использовали две доменные учетные записи с высокими привилегиями — одну как локального администратора, а другую как учетную запись решения для резервного копирования с правами администратора домена — для облегчения горизонтального перемещения по сети и выполнения команд протокола SMB для распространения инструментов.

APT41, в частности, использовала Cobalt Strike, распространенный инструмент тестирования на проникновение, для передачи данных C2 в скомпрометированных системах. Они распространяли Cobalt Strike в виде зашифрованного файла, который затем расшифровывался с помощью вредоносной библиотеки DLL, внедренной в законные приложения. Эта библиотека DLL была создана для поиска зашифрованной полезной информации в файлах, расположенных в том же каталоге. Злоумышленники использовали различные легальные приложения, переименовывая и заменяя компоненты, чтобы скрыть свою деятельность, что указывает на адаптацию к среде, в которой они находятся.

Кроме того, злоумышленники внедрили троянскую программу на C# с именем agents.exe или agentx.exe для выполнения команд и утечки данных, используя веб-оболочку CommandHandler.aspx на сервере SharePoint в качестве средства управления. Эти агенты способствовали разведке и сбору данных, ориентируясь на конфиденциальную информацию, такую как история посещений браузера и различные типы документов. Они отправляли эти данные обратно на свой сервер C2 через указанные конечные веб-точки, реализуя ошибочные резервные команды, когда основной механизм управления был недоступен.

Чтобы еще больше расширить свои возможности, злоумышленники использовали утилиты для кражи данных, включая модифицированную версию инструмента Pillager для сбора учетных данных и конфигураций, которые они скомпилировали во вредоносную библиотеку динамических ссылок (DLL). Mimikatz также использовался в модифицированном формате DLL для сброса учетных данных, загружаемых через законное Java-приложение.

Методы злоумышленников включали манипулирование инструментами и двоичными файлами, чтобы избежать обнаружения и обеспечить постоянство, что было продемонстрировано на примере создания служб на скомпрометированных хостах. Инфраструктура C2 включала домены, похожие на те, которые использовались в предыдущих операциях APT41. Применяемый набор тактик, методов и процедур (TTP) продемонстрировал адаптивность и изощренность APT41, подчеркнув необходимость комплексных мер безопасности, постоянного мониторинга и строгого контроля доступа в целевых организациях.

#technique

BIDI Swap: Unmasking the Art of URL Misleading with Bidirectional Text Tricks

https://www.varonis.com/blog/bidi-swap

#ParsedReport #CompletenessLow
21-07-2025

ToolShell: A SharePoint RCE chain actively exploited

https://www.varonis.com/blog/toolshell-sharepoint-rce

Report completeness: Low

Threats:
Toolshell_vuln
Sharppyshell_tool
Ysoserial_tool

Victims:
Organizations, Enterprises

Industry:
Military

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-49706 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1059.001, T1078, T1105, T1133, T1190, T1505.003

IOCs:
File: 3
IP: 3
Hash: 6

Soft:
SharePoint Server, ASP.NET, Twitter

Functions:
It

Languages:
powershell

Links:
https://github.com/pwntester/ysoserial.net
https://github.com/antonioCoco/SharPyShell
https://github.com/kaizensecurity/CVE-2025-53770/tree/master
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ToolShell использует уязвимости в SharePoint (CVE-2025-49706 и CVE-2025-49704) для обеспечения несанкционированного доступа и удаленного выполнения кода без учетных данных. Злоумышленники манипулируют заголовком ссылки для загрузки веб-оболочек, извлечения конфиденциальных ключей и выполнения команд. Угроза усугубляется непатченными системами, особенно старыми версиями SharePoint, что требует немедленной установки исправлений и принятия мер безопасности.
-----

ToolShell представляет собой значительную цепочку эксплойтов, нацеленных на уязвимости SharePoint, что позволяет злоумышленникам получать доступ к корпоративным средам без проверки подлинности. Эта оперативная и масштабируемая угроза использует две известные уязвимости — CVE-2025-49706, которая обходит аутентификацию, и CVE-2025-49704, облегчающую запись произвольных файлов, что позволяет выполнять полный удаленный код без необходимости использования учетных данных. Кроме того, CVE-2025-53770, идентифицированный с помощью фаззинга, является вариантом, который расширяет возможности атаки, поскольку он остается не исправленным в более старых версиях SharePoint.

Основной механизм эксплойта заключается в манипулировании заголовком ссылки для получения доступа к критически важным страницам SharePoint. Используя CVE-2025-49706, злоумышленники могут обойти проверку подлинности. Впоследствии они могут использовать CVE-2025-49704 для загрузки вредоносных файлов, таких как веб-оболочки, в каталоги, подобные /LAYOUTS/15/. После развертывания злоумышленники отправляют HTTP-запросы на загруженную веб-оболочку .aspx, которая взаимодействует с сервером SharePoint для извлечения конфиденциальных криптографических ключей, включая validationKey и decryptionKey. С помощью этих ключей злоумышленники могут генерировать допустимые значения __VIEWSTATE для манипулирования обработкой SharePoint, потенциально выполняя произвольные команды, включая PowerShell.

Ситуация с угрозами усугубляется большим количеством незащищенных серверов SharePoint, выявленных с помощью Shodan и Censys, особенно тех, которые размещены на Windows Server 2016 или более ранних версиях. Эти системы очень уязвимы и стали основной мишенью из-за отсутствия на них последних обновлений для системы безопасности. Эксплойт ToolShell работает с низким уровнем обнаружения; как только злоумышленник установил веб-оболочку, он не осуществляет активного обмена исходящими данными, что сводит к минимуму риск обнаружения обычными системами безопасности. В результате злоумышленники могут получить постоянный доступ, не вызывая тревоги, что позволяет им глубже проникнуть в сеть организации.

Организации, в которых включен интерфейс проверки на наличие вредоносных программ (AMSI), могут подвергаться меньшему риску определенных вредоносных действий, связанных с этим эксплойтом, а среды, оснащенные решениями для обнаружения конечных точек и реагирования на них (EDR), могут обнаруживать аномалии, связанные с несанкционированными процессами или активностью веб-оболочки. Однако одних механизмов обнаружения недостаточно для устранения этой угрозы. Организациям, использующим SharePoint, необходимо своевременно вносить исправления в свои системы, особенно тем, кто все еще использует такие версии, как SharePoint Server 2016 или более ранние, поскольку их уязвимость возрастает.

Для обеспечения безопасности организации должны проводить ротацию ASP.NET вводим машинные ключи при подозрении на компрометацию и сканируем на наличие индикаторов компрометации (IOCs). В долгосрочной перспективе предстоящее прекращение поддержки готовых продуктов SharePoint в июле 2026 года требует активного подхода к устранению этих уязвимостей. Планирование миграции и усиление защиты от устаревающих инфраструктурных угроз будут иметь решающее значение, поскольку ожидается, что в будущем злоумышленники усилят свои атаки.

#ParsedReport #CompletenessMedium
22-07-2025

DeerStealer Malware Delivered Via Weaponized .LNK Using LOLBin Tools

https://cybersecuritynews.com/deerstealer-malware-delivered/

Report completeness: Medium

Threats:
Deerstealer
Lolbin_technique
Interlock

Industry:
Aerospace

Geo:
Iran

TTPs:

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1140, T1204.002, T1566.002

IOCs:
File: 3
Domain: 1
Hash: 2

Soft:
macos

Algorithms:
sha256, base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая фишинговая кампания распространяет вредоносное ПО DeerStealer через .Файлы LNK, используя методы LoLBins, которые используют двоичные файлы Windows, такие как mshta.exe. Многоэтапная атака использует динамическое разрешение пути и кодирование, чтобы избежать обнаружения, демонстрируя сложную стратегию уклонения.
-----

Была выявлена новая фишинговая кампания, которая распространяет вредоносное ПО DeerStealer с помощью специальных файлов .LNK, используя метод, называемый LOLBin. Этот метод использует установленные двоичные файлы Windows, повышая способность вредоносного ПО обходить традиционные средства защиты. Вредоносная программа маскируется под PDF-документ, в частности, под названием "Report.lnk", и инициирует сложную многоэтапную атаку, которая включает в себя mshta.exe, легальный хостинг HTML-приложений Microsoft, в рамках своей реализации.

Цепочка выполнения атаки тщательно структурирована и состоит из пяти этапов: запускается с помощью файла .lnk, затем процесс расширяется с помощью mshta.exe, cmd.exe, PowerShell и, наконец, доставляет полезную нагрузку DeerStealer. Атака особенно примечательна тем, что в ней используется динамическое разрешение пути для mshta.exe, расположенного в каталоге System32. Он запускает этот исполняемый файл с флагами, которые следуют за запутанными строками Base64, используя сложный механизм декодирования символов, который обрабатывает пары символов, преобразует их из шестнадцатеричных в ASCII и использует командлет PowerShell Invoke-Expression (IEX) для создания исполняемых сценариев. Этот метод позволяет скрыть вредоносные операции до их выполнения, что делает инструменты статического анализа неэффективными.

Аналитики обратили внимание на сложность вредоносного ПО DeerStealer и его использование передовых методов уклонения, в частности, на использование метода MITRE ATT&CK T1218.005, который относится к неправильному использованию mshta.exe. Способность вредоносной программы динамически выполнять логику, сохраняя при этом постоянство, является неотъемлемой частью ее работы; она также использует легальный просмотрщик PDF-файлов (Adobe Acrobat) в качестве вводящего в заблуждение средства отвлечения от происходящих вредоносных действий. Эта кампания демонстрирует значительный прогресс в стратегиях доставки вредоносных программ, демонстрируя умение хакеров использовать широко используемые системные инструменты в неблаговидных целях.

#ParsedReport #CompletenessLow
22-07-2025

NET RFQ: Request for Quote Scammers Casting Wide Net to Steal Real Goods

https://www.proofpoint.com/us/blog/threat-insight/net-rfq-request-quote-scammers-casting-wide-net-steal-real-goods

Report completeness: Low

Threats:
Bec_technique

Victims:
Businesses, Corporations, Colleges, Small to midsized city governments

Industry:
Transport, Government, Financial, Education, Healthcare

Geo:
Ghana, African, Nigeria

ChatGPT TTPs:
do not use without manual check
T1078, T1566.001, T1566.002, T1584.001, T1585.001, T1586

IOCs:
Domain: 89
File: 4

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Мошенники, участвующие в запросах предложений, используют финансирование поставщиков для кражи дорогостоящих товаров, в частности электроники, часто используя украденную корпоративную информацию, чтобы выдавать себя за законных поставщиков. Мошенники запрашивают котировки и используют фишинговые схемы для получения конфиденциальных бизнес-данных, в конечном итоге приобретая товары под надуманным предлогом, обычно ориентируясь на развивающиеся регионы. Доставка осуществляется через посредников, а мулы участвуют в распределении украденных товаров.
-----

Мошенничество с запросами ценовых предложений (RFQ) развивается с целью использования возможностей финансирования поставщиков, в частности, с использованием чистых условий финансирования (15, 30, 45 дней) для облегчения кражи дорогостоящих товаров, преимущественно электроники. В таких аферах, как правило, участвуют мошенники, выдающие себя за агентов по закупкам для законных предприятий или организаций, использующие украденную или общедоступную корпоративную информацию для повышения доверия. Участники создают убедительные электронные письма с персонализированными подписями, имитирующими реальный корпоративный бренд, часто ориентируясь на специализированные отрасли, которые размещают конкретные заказы.

Мошенники вступают в контакт, запрашивая цены на продукты, а затем используют эти взаимодействия для внедрения вредоносных программ или фишинговых схем. После получения положительного ответа они часто инициируют запрос на чистое финансирование, который включает предоставление конфиденциальной деловой информации, такой как идентификационный номер работодателя (EIN) и номер DUNS, либо запрашивают подтверждающие документы для обработки. Их конечная цель - обеспечить сохранность товаров под предлогом оплаты в оговоренные сроки, при этом заказчиков часто просят доставить оборудование, которое считается законным и пользуется большим спросом в развивающихся регионах.

Оперативная структура таких мошенников, как правило, включает в себя сеть экспедиторских служб и мулов, которые облегчают получение и перераспределение украденных товаров. Сотрудничая с известными посредниками по доставке, мошенники часто отправляют товары в такие страны, как Нигерия и Гана, пользуясь преимуществами местных служб, но подвергая риску целостность отправлений. Вовлеченность мулов различна; некоторые из них могут быть невольными участниками, в то время как другие являются активными соучастниками, мотивированными личными финансовыми потребностями или связями с преступниками.

Постоянные усилия по отслеживанию и устранению нарушений, включая успешное удаление доменов, свидетельствуют о продолжающейся борьбе исследователей в области кибербезопасности с этими мошенническими предложениями. Критически важным для снижения рисков, связанных с этими мошенничествами, является бдительность при проверке законности запросов на финансирование. Организациям настоятельно рекомендуется проявлять осторожность в отношении срочных финансовых запросов, проверять адреса доставки и подтверждать законность заявлений по прямым каналам связи. Важно тщательно проверять источники электронной почты на предмет подлинности и выявлять любые несоответствия, которые указывают на мошеннические действия.

#ParsedReport #CompletenessLow
22-07-2025

PoisonSeed downgrading FIDO key authentications to fetch user accounts

https://expel.com/blog/poisonseed-downgrading-fido-key-authentications-to-fetch-user-accounts/

Report completeness: Low

Actors/Campaigns:
Poisonseed

Threats:
Aitm_technique

ChatGPT TTPs:
do not use without manual check
T1078, T1111, T1556.003, T1557.002, T1566.001

IOCs:
Domain: 2

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют уязвимости в аутентификации по ключу FIDO с помощью фишинговых атак, в которых используется технология "злоумышленник посередине" (AitM), заставляя пользователей сканировать QR-код на мошенническом сайте после того, как они введут свои учетные данные. Эти инциденты показывают, что злоумышленники могут манипулировать протоколами безопасности FIDO, подчеркивая необходимость в усиленных мерах защиты, таких как требование подключения по Bluetooth для снижения рисков AitM.
-----

Недавние события в области кибербезопасности выявили тревожный метод, используемый злоумышленниками для обхода аутентификации по ключу FIDO, особенно при фишинговых атаках. В ходе атаки используются функции входа с разных устройств, предназначенные для повышения удобства пользователей. В этих инцидентах злоумышленники используют стратегию "противник посередине" (AitM), обманом заставляя жертв сканировать QR-код, появляющийся после ввода их учетных данных на поддельной странице входа в систему.

В одном из зарегистрированных случаев злоумышленник выдавал себя за законную организацию с помощью фишингового электронного письма, перенаправляя пользователей на мошеннический сайт, имитирующий знакомый процесс входа в систему. Пользователи, вводящие свои имена пользователей и пароли, выдают украденные учетные данные; однако ключи FIDO, которые требуют двухфакторной аутентификации, изначально препятствуют атаке из-за необходимости использования второго физического фактора. Проблема возникает после входа в систему, когда фишинговый сайт передает учетные данные на фактический портал для входа в систему, а затем генерирует QR-код, который жертва может отсканировать с помощью приложения MFA authenticator. Эта проверка с помощью QR-кода позволяет злоумышленнику получить незаконный доступ, эффективно снижая уровень безопасности, обеспечиваемый ключами FIDO.

Расследование этой атаки показало, что фишинговый механизм заманивал пользователей в ловушку через авторитетные платформы, такие как Cloudflare, создавая обманчивое ощущение безопасности. К счастью, в данном конкретном случае после перехвата процесса аутентификации не было обнаружено никаких серьезных вредоносных действий, которые вызвали бы рекомендуемые действия, такие как проверка устройств аутентификации, сброс паролей и завершение активных сеансов.

В другом инциденте другая атака использовала процесс аутентификации FIDO еще более прямым образом. В данном случае злоумышленник предположительно сбросил пароль жертвы и зарегистрировал ее собственный ключ FIDO без сложного обмана, характерного для фишинга. Это продемонстрировало тревожащую легкость, с которой злоумышленники могли манипулировать безопасностью учетной записи, обходя традиционные меры предосторожности.

Несмотря на то, что эти инциденты выявляют значительные уязвимости в протоколах безопасности FIDO key, они также подчеркивают постоянную необходимость таких мер аутентификации. Было предложено, чтобы организации включали дополнительные функции защиты, например, требовали подключения Bluetooth между устройством MFA и устройством, пытающимся выполнить вход в систему. Эта корректировка может значительно снизить риск AitM-атак, когда злоумышленники в противном случае могли бы воспользоваться учетными данными пользователя с помощью этого нового метода.

Меняющаяся тактика угроз кибербезопасности иллюстрирует продолжающуюся гонку вооружений между атакующими и обороняющимися, при которой цикл ужесточения мер безопасности продолжается по мере того, как обе стороны адаптируются к возникающим угрозам. Тщательное изучение поведения и инструментов, используемых для защиты учетных записей, включая ключи FIDO, имеет важное значение, поскольку парадигма MFA и безопасных методов использования паролей продолжает подвергаться сомнению в цифровом мире.

#ParsedReport #CompletenessMedium
21-07-2025

SharePoint ToolShell \| Zero-Day Exploited in-the-Wild Targets Enterprise Servers

https://www.sentinelone.com/blog/sharepoint-toolshell-zero-day-exploited-in-the-wild-targets-enterprise-servers/

Report completeness: Medium

Threats:
Toolshell_vuln
Credential_harvesting_technique
Watering_hole_technique

Industry:
Critical_infrastructure

Geo:
Berlin

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055, T1055.004, T1059.001, T1071.001, T1105, T1190, T1505.003

IOCs:
File: 6
Path: 2
Command: 1
IP: 3
Hash: 3

Soft:
Microsoft SharePoint, SharePoint Server, ASP.NET

Algorithms:
sha1, base64, sha512

Functions:
Set-Content

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Корпорация Майкрософт обнаружила уязвимость сроком действия 0 дней в серверах SharePoint (CVE-2025-53770), которая активно использовалась для получения привилегированного доступа через взломанную страницу управления. Злоумышленники использовали пользовательскую веб-оболочку ASPX и разведывательную полезную нагрузку spinstall0.aspx для сбора криптографических материалов. В ходе продолжающихся попыток взлома были отмечены такие методы, как доставка PowerShell и выполнение без использования файлов, что подчеркивает необходимость немедленного исправления и усиления мер безопасности.
-----

19 июля корпорация Майкрософт обнаружила уязвимость продолжительностью 0 дней в локальных серверах Microsoft SharePoint, идентифицированную как "ToolShell" с идентификатором CVE-2025-53770. Эта уязвимость активно используется в дикой природе, наряду со связанным с ней обходным путем, обозначенным как CVE-2025-53771. Уязвимости были связаны с ранее исправленными ошибками (CVE-2025-49704 и CVE-2025-49706), которые были первоначально обнаружены в Pwn2Own Berlin и включены в цепочку атак с удаленным выполнением кода (RCE). Исследователи настоятельно рекомендовали немедленно внести исправления, а также принять дополнительные меры безопасности, такие как включение обнаружения AMSI и изоляция общедоступных серверов SharePoint.

17 июля SentinelOne впервые обнаружила попытки взлома, связанные с ToolShell, что свидетельствует о продолжающейся деятельности, нацеленной на крупные организации в сфере технологического консалтинга, производства и инфраструктуры. Злоумышленник воспользовался страницей управления SharePoint (/ToolPane.aspx), что указывает на возможность уязвимости получить привилегированный доступ. После этого была развернута пользовательская веб-оболочка ASPX, защищенная паролем, с именем "xxx.aspx", позволяющая злоумышленнику выполнять команды в среде. Примечательно, что 18 и 19 июля произошли две волны использования, кульминацией которых стала постоянная полезная нагрузка под названием spinstall0.aspx. Этот файл функционирует не как стандартная командная веб-оболочка, а как утилита разведки и сохранения данных, предназначенная для сбора криптографических материалов, которые могут облегчить дальнейшее использование, например, подделку токенов аутентификации.

Первая волна разработки использовала PowerShell для доставки полезной нагрузки, а сценарий в кодировке base64 был декодирован в каталог МАКЕТОВ SharePoint. Вторая волна также была нацелена на предоставление spinstall0.aspx с небольшими отличиями в промежуточных сценариях. Интересно, что в третьем обнаруженном кластере активности, получившем название "без оболочки", использовались передовые методы, включая выполнение без использования файлов. Этот кластер работал без создания постоянных веб-оболочек, используя выполнение модуля .NET в памяти, что значительно усложняет обнаружение и реагирование. Все действия из этого кластера происходили с одного IP-адреса, что указывает на целенаправленные усилия, вероятно, опытных хакеров, нацеленных на скрытый доступ и сбор учетных данных.

Использование уязвимостей SharePoint иллюстрирует тенденцию, проявляющуюся среди злоумышленников, которые извлекают выгоду из незащищенных систем и используют итеративную разработку эксплойтов. Серверы SharePoint, на которых хранятся критически важные данные организации, являются привлекательными объектами для злоумышленников не только из-за их непосредственного хранения, но и из-за их потенциального использования для проведения дальнейших внутренних атак. Это подчеркивает острую необходимость соблюдения организациями строгих правил безопасности в своих средах SharePoint.

#ParsedReport #CompletenessLow
22-07-2025

Beware of RokRAT malware distribution using malicious Hangul (.HWP) documents

https://asec.ahnlab.com/ko/89116/

Report completeness: Low

Threats:
Rokrat
Dll_sideloading_technique
Spear-phishing_technique

Geo:
North korea, Korean

ChatGPT TTPs:
do not use without manual check
T1027, T1082, T1105, T1203, T1204.002, T1566.001, T1574.002

IOCs:
File: 11
Hash: 4

Soft:
ShellRunas, Dropbox

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4