#ParsedReport #CompletenessMedium
22-07-2025
Gamers get ready: under the guise of cheats and mods, scammers distribute Trojan.Scavenger for the theft of cryptocurrency and passwords
https://news.drweb.ru/show/?i=15036&lng=ru&c=5
Report completeness: Medium
Threats:
Dllsearchorder_hijacking_technique
Scavenger
Typosquatting_technique
Victims:
Windows users, Russian enterprises
Industry:
Entertainment
Geo:
Russian
ChatGPT TTPs:
T1005, T1027, T1055, T1071.001, T1074, T1105, T1119, T1132, T1204.002, T1213, have more...
IOCs:
File: 23
Hash: 23
Domain: 3
Soft:
Chromium, Google Chrome, Microsoft Edge, Yandex Browser, Opera, Bitwarden, LastPass
Wallets:
metamask, exodus_wallet
Algorithms:
zip
Win API:
CreateFilew
Languages:
javascript
Links:
22-07-2025
Gamers get ready: under the guise of cheats and mods, scammers distribute Trojan.Scavenger for the theft of cryptocurrency and passwords
https://news.drweb.ru/show/?i=15036&lng=ru&c=5
Report completeness: Medium
Threats:
Dllsearchorder_hijacking_technique
Scavenger
Typosquatting_technique
Victims:
Windows users, Russian enterprises
Industry:
Entertainment
Geo:
Russian
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1055, T1071.001, T1074, T1105, T1119, T1132, T1204.002, T1213, have more...
IOCs:
File: 23
Hash: 23
Domain: 3
Soft:
Chromium, Google Chrome, Microsoft Edge, Yandex Browser, Opera, Bitwarden, LastPass
Wallets:
metamask, exodus_wallet
Algorithms:
zip
Win API:
CreateFilew
Languages:
javascript
Links:
https://github.com/DoctorWebLtd/malware-iocs/tree/master/Trojan.ScavengerDr.Web
Геймерам приготовиться: под видом читов и модов мошенники распространяют Trojan.Scavenger для кражи криптовалюты и паролей
Антивирусная лаборатория «Доктор Веб» обнаружила семейство вредоносных программ Trojan.Scavenger, с помощью которых злоумышленники похищают конфиденциальные данные из криптокошельков и менеджеров паролей у пользователей ОС Windows. В заражении компьютеров…
CTT Report Hub
#ParsedReport #CompletenessMedium 22-07-2025 Gamers get ready: under the guise of cheats and mods, scammers distribute Trojan.Scavenger for the theft of cryptocurrency and passwords https://news.drweb.ru/show/?i=15036&lng=ru&c=5 Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Компания Dr.Web обнаружила семейство троянских программ ScaveNger, нацеленных на системы Windows с целью кражи конфиденциальной информации о криптовалюте и паролях. Используя DLL-файлы для перехвата порядка поиска, эти трояны проникают в системы через легальные приложения и могут отключать функции безопасности. Они собирают данные из таких кошельков, как Phantom и Metamask, а также из менеджеров паролей, избегая при этом виртуализированных сред и шифруя связь со своими командными серверами.
-----
Компания Dr. Web выявила семейство вредоносных троянских программ, известных как ScaveNger, которые нацелены на пользователей Windows с целью кражи конфиденциальной информации, связанной с криптовалютами и менеджерами паролей. Эти трояны используют метод перехвата DLL-файлов для заражения систем, используя легальные приложения в качестве средств развертывания. Этот метод заключается в размещении вредоносных библиотек DLL в местах, выбранных Windows в качестве приоритетных для поиска в библиотеке, гарантируя, что вредоносный код будет выполнен как часть законного приложения.
Процесс заражения трояном.Программа Scavenger является многоуровневой и начинается с загрузки троянских программ, которые могут проникать в целевые системы различными способами, включая пиратское программное обеспечение с торрент-сайтов. Например, троян.Scavenger.1 представляет собой библиотеку DLL с именем umpdc.dll и обычно распространяется вместе с играми, такими как Oblivion Remastered. После активации он извлекает дополнительные вредоносные модули, такие как Trojan.Scavenger.2, а затем и Trojan.Scavenger.3 и Trojan.Scavenger.4.
Троян.Scavenger.3 маскируется под легальную системную библиотеку в каталогах браузеров на базе Chromium. Он нейтрализует защитные функции, такие как "песочница", и модифицирует такие функции, как проверка расширений, путем исправления библиотеки. Этот троян захватывает конфиденциальные данные с криптовалютных кошельков, включая приватные ключи и мнемонические фразы, с таких платформ, как Phantom и Metamask, и собирает пароли из менеджеров паролей, таких как BitWarden и Lastpass.
Троянец.Scavenger.4, с другой стороны, специально манипулирует криптовалютным кошельком Exodus, выполняя перехват порядка поиска в DLL-библиотеке, чтобы перехватить функции в движке V8 для отслеживания ответов в формате JSON, тем самым перехватывая парольные фразы и отправляя их на свой сервер управления (C2).
Примечательным аспектом этого семейства троянских программ является их способность обнаруживать виртуализированные среды, что приводит к их завершению в случае обнаружения. Кроме того, они используют единый протокол связи со своим сервером C2, который включает механизм генерации ключей и проверки подлинности для обеспечения зашифрованной связи.
Dr.Web уведомил разработчиков об уязвимостях, используемых этими троянами, в частности, об перехвате порядка поиска в DLL-библиотеках; однако было сочтено, что эти уязвимости не требуют немедленного исправления. Важно отметить, что антивирусные решения Dr. Web уже включают средства защиты от подобных уязвимостей, снижая риски, связанные с троянцами.Вредоносное ПО Scavenger для своих пользователей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Компания Dr.Web обнаружила семейство троянских программ ScaveNger, нацеленных на системы Windows с целью кражи конфиденциальной информации о криптовалюте и паролях. Используя DLL-файлы для перехвата порядка поиска, эти трояны проникают в системы через легальные приложения и могут отключать функции безопасности. Они собирают данные из таких кошельков, как Phantom и Metamask, а также из менеджеров паролей, избегая при этом виртуализированных сред и шифруя связь со своими командными серверами.
-----
Компания Dr. Web выявила семейство вредоносных троянских программ, известных как ScaveNger, которые нацелены на пользователей Windows с целью кражи конфиденциальной информации, связанной с криптовалютами и менеджерами паролей. Эти трояны используют метод перехвата DLL-файлов для заражения систем, используя легальные приложения в качестве средств развертывания. Этот метод заключается в размещении вредоносных библиотек DLL в местах, выбранных Windows в качестве приоритетных для поиска в библиотеке, гарантируя, что вредоносный код будет выполнен как часть законного приложения.
Процесс заражения трояном.Программа Scavenger является многоуровневой и начинается с загрузки троянских программ, которые могут проникать в целевые системы различными способами, включая пиратское программное обеспечение с торрент-сайтов. Например, троян.Scavenger.1 представляет собой библиотеку DLL с именем umpdc.dll и обычно распространяется вместе с играми, такими как Oblivion Remastered. После активации он извлекает дополнительные вредоносные модули, такие как Trojan.Scavenger.2, а затем и Trojan.Scavenger.3 и Trojan.Scavenger.4.
Троян.Scavenger.3 маскируется под легальную системную библиотеку в каталогах браузеров на базе Chromium. Он нейтрализует защитные функции, такие как "песочница", и модифицирует такие функции, как проверка расширений, путем исправления библиотеки. Этот троян захватывает конфиденциальные данные с криптовалютных кошельков, включая приватные ключи и мнемонические фразы, с таких платформ, как Phantom и Metamask, и собирает пароли из менеджеров паролей, таких как BitWarden и Lastpass.
Троянец.Scavenger.4, с другой стороны, специально манипулирует криптовалютным кошельком Exodus, выполняя перехват порядка поиска в DLL-библиотеке, чтобы перехватить функции в движке V8 для отслеживания ответов в формате JSON, тем самым перехватывая парольные фразы и отправляя их на свой сервер управления (C2).
Примечательным аспектом этого семейства троянских программ является их способность обнаруживать виртуализированные среды, что приводит к их завершению в случае обнаружения. Кроме того, они используют единый протокол связи со своим сервером C2, который включает механизм генерации ключей и проверки подлинности для обеспечения зашифрованной связи.
Dr.Web уведомил разработчиков об уязвимостях, используемых этими троянами, в частности, об перехвате порядка поиска в DLL-библиотеках; однако было сочтено, что эти уязвимости не требуют немедленного исправления. Важно отметить, что антивирусные решения Dr. Web уже включают средства защиты от подобных уязвимостей, снижая риски, связанные с троянцами.Вредоносное ПО Scavenger для своих пользователей.
#ParsedReport #CompletenessLow
22-07-2025
LameHug malware uses AI LLM to craft Windows data-theft commands in real-time
https://www.bleepingcomputer.com/news/security/lamehug-malware-uses-ai-llm-to-craft-windows-data-theft-commands-in-real-time/
Report completeness: Low
Actors/Campaigns:
Fancy_bear
Threats:
Lamehug_tool
Victims:
Executive government bodies, Ministry officials
Industry:
Government
Geo:
Ukraine, Ukrainian, Russian
ChatGPT TTPs:
T1027, T1059.006, T1082, T1083, T1105, T1566.001
IOCs:
File: 3
Soft:
Hugging Face
Algorithms:
zip
Languages:
python
22-07-2025
LameHug malware uses AI LLM to craft Windows data-theft commands in real-time
https://www.bleepingcomputer.com/news/security/lamehug-malware-uses-ai-llm-to-craft-windows-data-theft-commands-in-real-time/
Report completeness: Low
Actors/Campaigns:
Fancy_bear
Threats:
Lamehug_tool
Victims:
Executive government bodies, Ministry officials
Industry:
Government
Geo:
Ukraine, Ukrainian, Russian
ChatGPT TTPs:
do not use without manual checkT1027, T1059.006, T1082, T1083, T1105, T1566.001
IOCs:
File: 3
Soft:
Hugging Face
Algorithms:
zip
Languages:
python
BleepingComputer
LameHug malware uses AI LLM to craft Windows data-theft commands in real-time
A novel malware family named LameHug is using a large language model (LLM) to generate commands to be executed on compromised Windows systems.
CTT Report Hub
#ParsedReport #CompletenessLow 22-07-2025 LameHug malware uses AI LLM to craft Windows data-theft commands in real-time https://www.bleepingcomputer.com/news/security/lamehug-malware-uses-ai-llm-to-craft-windows-data-theft-commands-in-real-time/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
LameHug - это вредоносная программа, относящаяся к классу APT28, которая использует расширенную языковую модель через API Hugging Face для генерации команд в взломанных системах Windows. Она выполняет разведку системы и эксфильтрацию данных, используя скрытую связь для обеспечения сохранности.
-----
LameHug - это недавно обнаруженное семейство вредоносных программ, которое использует large language model (LLM) для генерации исполняемых команд в скомпрометированных системах Windows. Обнаруженная национальной группой реагирования на киберинциденты Украины CERT-UA вредоносная программа приписывается спонсируемой российским государством хакерской группе APT28, которая также известна под различными другими псевдонимами, такими как Sednit и Fancy Bear. Написанный на Python, LameHug использует API Hugging Face для взаимодействия с Qwen 2.5-Coder-32B-Instruct LLM для создания команд на основе заданных подсказок.
Эта вредоносная программа была обнаружена после того, как 10 июля CERT-UA получил сообщения о вредоносных электронных письмах, отправленных со взломанных учетных записей, которые выдавали себя за сотрудников правительственных министерств. Эти электронные письма были направлены на распространение LameHug в органах исполнительной власти Украины. Агентство со средней степенью уверенности полагает, что эти кампании связаны с APT28. В проанализированных случаях LameHug выполнял задачи, связанные с разведкой системы и извлечением данных. Команды, генерируемые LLM, были динамическими и позволяли вредоносному ПО собирать системную информацию, которую оно затем сохраняло в текстовом файле с именем info.txt. Кроме того, он смог выполнять рекурсивный поиск документов в ключевых каталогах Windows, включая "Документы", "Рабочий стол" и "Загрузки", с последующей фильтрацией собранных данных с помощью SFTP или HTTP POST-запросов.
Примечательно, что LameHug представляет собой первую публично задокументированную вредоносную программу, которая использует возможности LLM для достижения целей злоумышленника. Использование инфраструктуры Hugging Face может способствовать поддержанию скрытых операций командования и контроля, позволяя осуществлять необнаруживаемые коммуникации, которые продлевают срок существования вредоносной программы в целевых сетях. Динамически генерируемые команды также могут обойти традиционные меры безопасности, которые обычно основаны на идентификации жестко закодированных шаблонов команд. Поскольку CERT-UA не раскрывает, были ли команды, выполняемые LameHug, эффективными для достижения целей противников, остается неясным полный масштаб его операционного успеха.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
LameHug - это вредоносная программа, относящаяся к классу APT28, которая использует расширенную языковую модель через API Hugging Face для генерации команд в взломанных системах Windows. Она выполняет разведку системы и эксфильтрацию данных, используя скрытую связь для обеспечения сохранности.
-----
LameHug - это недавно обнаруженное семейство вредоносных программ, которое использует large language model (LLM) для генерации исполняемых команд в скомпрометированных системах Windows. Обнаруженная национальной группой реагирования на киберинциденты Украины CERT-UA вредоносная программа приписывается спонсируемой российским государством хакерской группе APT28, которая также известна под различными другими псевдонимами, такими как Sednit и Fancy Bear. Написанный на Python, LameHug использует API Hugging Face для взаимодействия с Qwen 2.5-Coder-32B-Instruct LLM для создания команд на основе заданных подсказок.
Эта вредоносная программа была обнаружена после того, как 10 июля CERT-UA получил сообщения о вредоносных электронных письмах, отправленных со взломанных учетных записей, которые выдавали себя за сотрудников правительственных министерств. Эти электронные письма были направлены на распространение LameHug в органах исполнительной власти Украины. Агентство со средней степенью уверенности полагает, что эти кампании связаны с APT28. В проанализированных случаях LameHug выполнял задачи, связанные с разведкой системы и извлечением данных. Команды, генерируемые LLM, были динамическими и позволяли вредоносному ПО собирать системную информацию, которую оно затем сохраняло в текстовом файле с именем info.txt. Кроме того, он смог выполнять рекурсивный поиск документов в ключевых каталогах Windows, включая "Документы", "Рабочий стол" и "Загрузки", с последующей фильтрацией собранных данных с помощью SFTP или HTTP POST-запросов.
Примечательно, что LameHug представляет собой первую публично задокументированную вредоносную программу, которая использует возможности LLM для достижения целей злоумышленника. Использование инфраструктуры Hugging Face может способствовать поддержанию скрытых операций командования и контроля, позволяя осуществлять необнаруживаемые коммуникации, которые продлевают срок существования вредоносной программы в целевых сетях. Динамически генерируемые команды также могут обойти традиционные меры безопасности, которые обычно основаны на идентификации жестко закодированных шаблонов команд. Поскольку CERT-UA не раскрывает, были ли команды, выполняемые LameHug, эффективными для достижения целей противников, остается неясным полный масштаб его операционного успеха.
#ParsedReport #CompletenessHigh
22-07-2025
Disrupting active exploitation of on-premises SharePoint vulnerabilities
https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/
Report completeness: High
Actors/Campaigns:
Emissary_panda
Apt31 (motivation: cyber_espionage)
Storm-2603
Fin11
Threats:
Lockbit
Ngrok_tool
Trojan:win32/hijacksharepointserver.a
Toolshell_vuln
Victims:
Organizations, Government, Defense, Strategic planning, Human rights organizations, Former government and military personnel, Ngos, Think tanks, Higher education, Digital media, have more...
Industry:
Healthcare, Education, Ngo, Military, Government
Geo:
China, Asia, Chinese
CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)
CVE-2025-53771 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)
CVE-2025-49706 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)
TTPs:
Tactics: 5
Technics: 3
IOCs:
File: 7
Url: 1
IP: 4
Hash: 1
Soft:
Microsoft Defender, Microsoft Defender for Endpoint, SharePoint Server, SharePoint server ASP.NET, Microsoft SharePoint Server, harePoint server -, harePoint server vu, Twitter, Office 365
Algorithms:
sha256
Languages:
powershell
22-07-2025
Disrupting active exploitation of on-premises SharePoint vulnerabilities
https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/
Report completeness: High
Actors/Campaigns:
Emissary_panda
Apt31 (motivation: cyber_espionage)
Storm-2603
Fin11
Threats:
Lockbit
Ngrok_tool
Trojan:win32/hijacksharepointserver.a
Toolshell_vuln
Victims:
Organizations, Government, Defense, Strategic planning, Human rights organizations, Former government and military personnel, Ngos, Think tanks, Higher education, Digital media, have more...
Industry:
Healthcare, Education, Ngo, Military, Government
Geo:
China, Asia, Chinese
CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)
CVE-2025-53771 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)
CVE-2025-49706 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)
TTPs:
Tactics: 5
Technics: 3
IOCs:
File: 7
Url: 1
IP: 4
Hash: 1
Soft:
Microsoft Defender, Microsoft Defender for Endpoint, SharePoint Server, SharePoint server ASP.NET, Microsoft SharePoint Server, harePoint server -, harePoint server vu, Twitter, Office 365
Algorithms:
sha256
Languages:
powershell
Microsoft News
Disrupting active exploitation of on-premises SharePoint vulnerabilities
Microsoft has observed two named Chinese nation-state actors, Linen Typhoon and Violet Typhoon, exploiting vulnerabilities targeting internet-facing SharePoint servers. In addition, we have observed another China-based threat actor, tracked as Storm-2603…
CTT Report Hub
#ParsedReport #CompletenessHigh 22-07-2025 Disrupting active exploitation of on-premises SharePoint vulnerabilities https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Активные атаки нацелены на локальные серверы SharePoint, использующие CVE-2025-49706 и CVE-2025-49704, связанные с китайскими государственными структурами Linen Typhoon и Violet Typhoon. Злоумышленники используют вредоносные скрипты для извлечения конфиденциальных данных, что побуждает корпорацию Майкрософт выпускать срочные обновления для системы безопасности.
-----
19 июля 2025 года Центр реагирования Microsoft Security Response Center (MSRC) предупредил пользователей об активных атаках, использующих уязвимости в локальных серверах SharePoint, в частности CVE-2025-49706, уязвимость подмены, и CVE-2025-49704, которая позволяет удаленно выполнять код (RCE). Примечательно, что эти уязвимости затрагивают только локальные серверы SharePoint, за исключением SharePoint Online в Microsoft 365. Корпорация Майкрософт незамедлительно выпустила обновления для системы безопасности для всех поддерживаемых версий SharePoint Server (выпуски по подписке 2019 и 2016 годов), настоятельно рекомендуя клиентам применять эти обновления без промедления.
В обновления включены связанная с этим уязвимость CVE-2025-53770, которая также относится к RCE-аспекту CVE-2025-49704, и CVE-2025-53771, уязвимость для обхода системы безопасности, связанная с CVE-2025-49706. Microsoft обнаружила использование этих уязвимостей в основном двумя китайскими государственными структурами, Linen Typhoon и Violet Typhoon, а также другим китайским хакером, идентифицированным как Storm-2603. Расследования в отношении других участников, использующих эти уязвимости, продолжаются, и Корпорация Майкрософт выражает глубокую уверенность в том, что эти участники будут продолжать внедрять эти эксплойты в незащищенные системы.
В реальных сценариях атаки хакеры использовали созданный POST-запрос для загрузки вредоносного скрипта с именем spinstall0.aspx, с различными вариантами имени файла, такими как spinstall.aspx, spinstall1.aspx и другими. Этот скрипт запрограммирован на извлечение данных machineKey, что позволяет злоумышленникам извлекать конфиденциальные ключевые материалы. Попытки эксплуатации связаны с прошлой деятельностью этих субъектов: Linen Typhoon нацелен на такие сектора, как правительство и оборона, для хищения интеллектуальной собственности, в то время как Violet Typhoon специализируется на шпионаже против таких организаций, как НПО и аналитические центры.
Хотя Storm-2603 и связан с этими уязвимостями, он продемонстрировал прошлые действия, связанные с внедрением программ-вымогателей, хотя его текущие цели остаются менее ясными. Корпорация Майкрософт описала несколько тактик, методов и процедур (TTP), используемых этими хакерами во время их атак на серверы SharePoint. Рекомендации по снижению рисков включают использование интерфейса проверки на наличие вредоносных программ (AMSI) в антивирусе Microsoft Defender, его настройку на полный режим, обеспечение ротации SharePoint server ASP.NET ключи компьютера и использование Microsoft Defender для решений Endpoint.
Для организаций, использующих Microsoft Defender XDR, важно своевременно отслеживать признаки использования, в частности, создание файла spinstall0.aspx, выполнение процессов, связанных с активностью веб-сервера, и команды PowerShell, указывающие на действия после использования. Используя предоставленные средства визуализации, клиенты могут повысить свою защищенность от постоянных угроз, связанных с локальными уязвимостями SharePoint.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Активные атаки нацелены на локальные серверы SharePoint, использующие CVE-2025-49706 и CVE-2025-49704, связанные с китайскими государственными структурами Linen Typhoon и Violet Typhoon. Злоумышленники используют вредоносные скрипты для извлечения конфиденциальных данных, что побуждает корпорацию Майкрософт выпускать срочные обновления для системы безопасности.
-----
19 июля 2025 года Центр реагирования Microsoft Security Response Center (MSRC) предупредил пользователей об активных атаках, использующих уязвимости в локальных серверах SharePoint, в частности CVE-2025-49706, уязвимость подмены, и CVE-2025-49704, которая позволяет удаленно выполнять код (RCE). Примечательно, что эти уязвимости затрагивают только локальные серверы SharePoint, за исключением SharePoint Online в Microsoft 365. Корпорация Майкрософт незамедлительно выпустила обновления для системы безопасности для всех поддерживаемых версий SharePoint Server (выпуски по подписке 2019 и 2016 годов), настоятельно рекомендуя клиентам применять эти обновления без промедления.
В обновления включены связанная с этим уязвимость CVE-2025-53770, которая также относится к RCE-аспекту CVE-2025-49704, и CVE-2025-53771, уязвимость для обхода системы безопасности, связанная с CVE-2025-49706. Microsoft обнаружила использование этих уязвимостей в основном двумя китайскими государственными структурами, Linen Typhoon и Violet Typhoon, а также другим китайским хакером, идентифицированным как Storm-2603. Расследования в отношении других участников, использующих эти уязвимости, продолжаются, и Корпорация Майкрософт выражает глубокую уверенность в том, что эти участники будут продолжать внедрять эти эксплойты в незащищенные системы.
В реальных сценариях атаки хакеры использовали созданный POST-запрос для загрузки вредоносного скрипта с именем spinstall0.aspx, с различными вариантами имени файла, такими как spinstall.aspx, spinstall1.aspx и другими. Этот скрипт запрограммирован на извлечение данных machineKey, что позволяет злоумышленникам извлекать конфиденциальные ключевые материалы. Попытки эксплуатации связаны с прошлой деятельностью этих субъектов: Linen Typhoon нацелен на такие сектора, как правительство и оборона, для хищения интеллектуальной собственности, в то время как Violet Typhoon специализируется на шпионаже против таких организаций, как НПО и аналитические центры.
Хотя Storm-2603 и связан с этими уязвимостями, он продемонстрировал прошлые действия, связанные с внедрением программ-вымогателей, хотя его текущие цели остаются менее ясными. Корпорация Майкрософт описала несколько тактик, методов и процедур (TTP), используемых этими хакерами во время их атак на серверы SharePoint. Рекомендации по снижению рисков включают использование интерфейса проверки на наличие вредоносных программ (AMSI) в антивирусе Microsoft Defender, его настройку на полный режим, обеспечение ротации SharePoint server ASP.NET ключи компьютера и использование Microsoft Defender для решений Endpoint.
Для организаций, использующих Microsoft Defender XDR, важно своевременно отслеживать признаки использования, в частности, создание файла spinstall0.aspx, выполнение процессов, связанных с активностью веб-сервера, и команды PowerShell, указывающие на действия после использования. Используя предоставленные средства визуализации, клиенты могут повысить свою защищенность от постоянных угроз, связанных с локальными уязвимостями SharePoint.
#ParsedReport #CompletenessHigh
22-07-2025
EdskManager RAT: Multi-Stage Malware with HVNC and Evasion Capabilities
https://www.cyfirma.com/research/edskmanager-rat-multi-stage-malware-with-hvnc-and-evasion-capabilities/
Report completeness: High
Threats:
Edskmanager
Hvnc_tool
Process_injection_technique
TTPs:
Tactics: 9
Technics: 21
IOCs:
Hash: 11
Domain: 2
Url: 1
IP: 1
File: 2
Path: 1
Soft:
Chrome
Algorithms:
sha256, md5
Functions:
send
Win API:
LoadLibraryA, GetProcAddress, CreateWindowExW, PeekMessageW
Languages:
delphi
YARA: Found
22-07-2025
EdskManager RAT: Multi-Stage Malware with HVNC and Evasion Capabilities
https://www.cyfirma.com/research/edskmanager-rat-multi-stage-malware-with-hvnc-and-evasion-capabilities/
Report completeness: High
Threats:
Edskmanager
Hvnc_tool
Process_injection_technique
TTPs:
Tactics: 9
Technics: 21
IOCs:
Hash: 11
Domain: 2
Url: 1
IP: 1
File: 2
Path: 1
Soft:
Chrome
Algorithms:
sha256, md5
Functions:
send
Win API:
LoadLibraryA, GetProcAddress, CreateWindowExW, PeekMessageW
Languages:
delphi
YARA: Found
CYFIRMA
EdskManager RAT: Multi-Stage Malware with HVNC and Evasion Capabilities - CYFIRMA
Executive Summary At CYFIRMA, we are dedicated to providing current insights into prevalent threats and the strategies employed by malicious...
CTT Report Hub
#ParsedReport #CompletenessHigh 22-07-2025 EdskManager RAT: Multi-Stage Malware with HVNC and Evasion Capabilities https://www.cyfirma.com/research/edskmanager-rat-multi-stage-malware-with-hvnc-and-evasion-capabilities/ Report completeness: High Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
EdskManager RAT - это сложный троян для удаленного доступа, который использует многоэтапное заражение с помощью легального загрузчика программного обеспечения. Он использует DLL-файлы для вредоносных операций, скрытую связь C2 и HVNC для секретного контроля зараженных систем, повышая эффективность обхода и сохраняемости с помощью различных методов и нацеливаясь на браузерные расширения для получения данных.
-----
EdskManager RAT - это сложный троян для удаленного доступа (RAT), который использует многоэтапный процесс заражения для получения скрытого доступа к системам. Изначально он распространяется через загрузчик, который маскируется под легальное программное обеспечение. Загрузчик запускает ряд компонентов, таких как VideoManagerEntry.exe, который подписан действительным цифровым сертификатом. Однако вредоносные возможности встроены в DLL-файлы, включая commonbase.dll, который отвечает за выполнение операций вредоносного ПО. Вредоносная программа манипулирует памятью во время выполнения, используя такие методы, как операции "память-память" и запутывание команд, которые усложняют анализ и препятствуют обнаружению.
Вредоносная программа взаимодействует с серверами управления (C2) скрытно, используя socket API для отправки и получения сообщений, сжатых zlib. Сообщение C2 скрыто в разделе .itext файла commonbase.dll, который содержит важные данные конфигурации, в то время как файл .edskv содержит зашифрованную информацию, критически важную для работы вредоносной программы. Такая структура позволяет EdskManager RAT поддерживать динамичную инфраструктуру C2, переключаясь между доменами, чтобы усовершенствовать тактику обхода и повысить долговечность работы в уязвимых средах.
Ключевой особенностью EdskManager RAT является использование скрытых виртуальных сетевых вычислений (HVNC), позволяющих злоумышленнику управлять зараженными машинами без видимого предупреждения жертвы. Он создает скрытые окна для облегчения своей работы, используя такие функции, как CreateWindowExW и PeekMessageW, для бесшумного прослушивания команд. Эта невидимость имеет решающее значение для его дизайна, поскольку позволяет злоумышленникам сохранять долгосрочный доступ и выполнять различные вредоносные действия незамеченными.
RAT демонстрирует передовые методы обхода, позволяющие избежать обнаружения программным обеспечением безопасности, включая подключение к API и отладчик. Он обеспечивает постоянство с помощью нескольких методов, создавая запланированные задачи, изменяя реестр автозапуска и размещая ярлыки в папке автозагрузки, чтобы обеспечить запуск после перезагрузки системы. Кроме того, EdskManager RAT проводит разведывательную деятельность, в частности, нацеливаясь на браузерные расширения для хранения конфиденциальных данных, которые позиционируют вредоносное ПО для потенциального использования в будущем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
EdskManager RAT - это сложный троян для удаленного доступа, который использует многоэтапное заражение с помощью легального загрузчика программного обеспечения. Он использует DLL-файлы для вредоносных операций, скрытую связь C2 и HVNC для секретного контроля зараженных систем, повышая эффективность обхода и сохраняемости с помощью различных методов и нацеливаясь на браузерные расширения для получения данных.
-----
EdskManager RAT - это сложный троян для удаленного доступа (RAT), который использует многоэтапный процесс заражения для получения скрытого доступа к системам. Изначально он распространяется через загрузчик, который маскируется под легальное программное обеспечение. Загрузчик запускает ряд компонентов, таких как VideoManagerEntry.exe, который подписан действительным цифровым сертификатом. Однако вредоносные возможности встроены в DLL-файлы, включая commonbase.dll, который отвечает за выполнение операций вредоносного ПО. Вредоносная программа манипулирует памятью во время выполнения, используя такие методы, как операции "память-память" и запутывание команд, которые усложняют анализ и препятствуют обнаружению.
Вредоносная программа взаимодействует с серверами управления (C2) скрытно, используя socket API для отправки и получения сообщений, сжатых zlib. Сообщение C2 скрыто в разделе .itext файла commonbase.dll, который содержит важные данные конфигурации, в то время как файл .edskv содержит зашифрованную информацию, критически важную для работы вредоносной программы. Такая структура позволяет EdskManager RAT поддерживать динамичную инфраструктуру C2, переключаясь между доменами, чтобы усовершенствовать тактику обхода и повысить долговечность работы в уязвимых средах.
Ключевой особенностью EdskManager RAT является использование скрытых виртуальных сетевых вычислений (HVNC), позволяющих злоумышленнику управлять зараженными машинами без видимого предупреждения жертвы. Он создает скрытые окна для облегчения своей работы, используя такие функции, как CreateWindowExW и PeekMessageW, для бесшумного прослушивания команд. Эта невидимость имеет решающее значение для его дизайна, поскольку позволяет злоумышленникам сохранять долгосрочный доступ и выполнять различные вредоносные действия незамеченными.
RAT демонстрирует передовые методы обхода, позволяющие избежать обнаружения программным обеспечением безопасности, включая подключение к API и отладчик. Он обеспечивает постоянство с помощью нескольких методов, создавая запланированные задачи, изменяя реестр автозапуска и размещая ярлыки в папке автозагрузки, чтобы обеспечить запуск после перезагрузки системы. Кроме того, EdskManager RAT проводит разведывательную деятельность, в частности, нацеливаясь на браузерные расширения для хранения конфиденциальных данных, которые позиционируют вредоносное ПО для потенциального использования в будущем.
#ParsedReport #CompletenessLow
22-07-2025
Operation "Liquidation": We study and block the infrastructure of the Nyashteam group
https://www.f6.ru/blog/nyashteam/
Report completeness: Low
Actors/Campaigns:
Nyashteam (motivation: cyber_criminal, cyber_espionage)
Threats:
Webrat
Dcrat
Xworm_rat
Industry:
Logistic, Entertainment, Petroleum
Geo:
Russian, Russia
ChatGPT TTPs:
T1005, T1055, T1056.001, T1071.001, T1105, T1106, T1113, T1204.002, T1219, T1566.002, have more...
IOCs:
Domain: 129
File: 1
Hash: 5
Soft:
Telegram, Steam
Algorithms:
sha1, sha256, md5
22-07-2025
Operation "Liquidation": We study and block the infrastructure of the Nyashteam group
https://www.f6.ru/blog/nyashteam/
Report completeness: Low
Actors/Campaigns:
Nyashteam (motivation: cyber_criminal, cyber_espionage)
Threats:
Webrat
Dcrat
Xworm_rat
Industry:
Logistic, Entertainment, Petroleum
Geo:
Russian, Russia
ChatGPT TTPs:
do not use without manual checkT1005, T1055, T1056.001, T1071.001, T1105, T1106, T1113, T1204.002, T1219, T1566.002, have more...
IOCs:
Domain: 129
File: 1
Hash: 5
Soft:
Telegram, Steam
Algorithms:
sha1, sha256, md5
CTT Report Hub
#ParsedReport #CompletenessLow 22-07-2025 Operation "Liquidation": We study and block the infrastructure of the Nyashteam group https://www.f6.ru/blog/nyashteam/ Report completeness: Low Actors/Campaigns: Nyashteam (motivation: cyber_criminal, cyber_espionage)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Nyashteam предлагает Malware-As-A-Service (MaaS), предоставляя два семейства вредоносных программ, DCRAT и Webrat, ориентированных в первую очередь на русскоязычных пользователей. DCRAT, программа RAT для управления устройствами, и Webrat, программа для кражи данных в браузерах, поставляются с плагинами для специализированных атак. Более 350 доменов, размещенных на Nyashteam, способствовали распространению вредоносного ПО, что привело к целенаправленным фишинговым атакам.
-----
Аналитики F6 выявили и взломали сеть групповых доменов, занимающихся распространением вредоносного ПО и предоставлением услуг хостинга для инфраструктуры киберпреступности, используя модель, известную как "Вредоносное ПО как услуга" (MaaS). Эта модель позволяет неопытным злоумышленникам проводить сложные кибератаки с минимальными знаниями. Группа Nyashteam, которая работает как минимум с 2022 года, иллюстрирует эту тенденцию, предлагая два семейства вредоносных программ — DCRAT и Webrat — с помощью ботов Telegram и специализированных веб-сайтов. Группа нацелена в первую очередь на русскоязычную аудиторию, но ее сервисы доступны злоумышленникам по всему миру. Их популярность обусловлена относительно низкими затратами и удобным интерфейсом.
DCRAT - это троян удаленного доступа (RAT), признанный с 2018 года, который позволяет злоумышленникам управлять зараженными устройствами, перехватывать нажатия клавиш, получать доступ к веб-камерам, красть пароли и выполнять произвольные команды. Webrat специализируется на краже данных из браузеров, таких как пароли и файлы cookie, и поддерживает удаленные команды и доставку дополнительных вредоносных программ. Nyashteam расширяет свои услуги более чем 20 плагинами для DCRAT и Webrat, позволяя использовать различные вредоносные программы - от кражи данных до продвинутого шпионажа. Они предоставляют руководства по распространению вредоносных программ и инструменты для обработки данных, полученных из скомпрометированных систем, что повышает прибыльность их деятельности.
Операционная модель Nyashteam также предусматривает регистрацию доменов для размещения вредоносных программ, и аналитики F6 зарегистрировали более 350 доменов второго уровня. Эти домены часто выглядят законными и используются для облегчения распространения DCRAT. Примечательно, что Confman group использовала домен, связанный с Nyashteam, для распространения DCRAT с помощью фишинговых электронных писем, адресованных компаниям из различных отраслей, включая логистику и IT. Другая преступная группа, Businessman, использовала услуги Nyashteam для проникновения к пользователям более чем в 50 странах, уделяя особое внимание российским объектам.
В ответ на эти угрозы F6 направила уведомления о блокировке вредоносных доменов в соответствующие органы. К июлю 2025 года в зоне .ru было заблокировано более 110 таких доменов, а также Telegram-канал, распространяющий вредоносное программное обеспечение Nyashteam. Этот случай показывает, как упреждающий мониторинг и анализ инфраструктуры могут эффективно ограничить доступ провайдеров MaaS, хотя для противодействия растущим хакерским атакам необходимы постоянные усилия. Блокировка доменов остается важнейшей стратегией предотвращения распространения вредоносных программ в цифровом пространстве, демонстрируя важность скоординированных мер реагирования на киберпреступность.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Nyashteam предлагает Malware-As-A-Service (MaaS), предоставляя два семейства вредоносных программ, DCRAT и Webrat, ориентированных в первую очередь на русскоязычных пользователей. DCRAT, программа RAT для управления устройствами, и Webrat, программа для кражи данных в браузерах, поставляются с плагинами для специализированных атак. Более 350 доменов, размещенных на Nyashteam, способствовали распространению вредоносного ПО, что привело к целенаправленным фишинговым атакам.
-----
Аналитики F6 выявили и взломали сеть групповых доменов, занимающихся распространением вредоносного ПО и предоставлением услуг хостинга для инфраструктуры киберпреступности, используя модель, известную как "Вредоносное ПО как услуга" (MaaS). Эта модель позволяет неопытным злоумышленникам проводить сложные кибератаки с минимальными знаниями. Группа Nyashteam, которая работает как минимум с 2022 года, иллюстрирует эту тенденцию, предлагая два семейства вредоносных программ — DCRAT и Webrat — с помощью ботов Telegram и специализированных веб-сайтов. Группа нацелена в первую очередь на русскоязычную аудиторию, но ее сервисы доступны злоумышленникам по всему миру. Их популярность обусловлена относительно низкими затратами и удобным интерфейсом.
DCRAT - это троян удаленного доступа (RAT), признанный с 2018 года, который позволяет злоумышленникам управлять зараженными устройствами, перехватывать нажатия клавиш, получать доступ к веб-камерам, красть пароли и выполнять произвольные команды. Webrat специализируется на краже данных из браузеров, таких как пароли и файлы cookie, и поддерживает удаленные команды и доставку дополнительных вредоносных программ. Nyashteam расширяет свои услуги более чем 20 плагинами для DCRAT и Webrat, позволяя использовать различные вредоносные программы - от кражи данных до продвинутого шпионажа. Они предоставляют руководства по распространению вредоносных программ и инструменты для обработки данных, полученных из скомпрометированных систем, что повышает прибыльность их деятельности.
Операционная модель Nyashteam также предусматривает регистрацию доменов для размещения вредоносных программ, и аналитики F6 зарегистрировали более 350 доменов второго уровня. Эти домены часто выглядят законными и используются для облегчения распространения DCRAT. Примечательно, что Confman group использовала домен, связанный с Nyashteam, для распространения DCRAT с помощью фишинговых электронных писем, адресованных компаниям из различных отраслей, включая логистику и IT. Другая преступная группа, Businessman, использовала услуги Nyashteam для проникновения к пользователям более чем в 50 странах, уделяя особое внимание российским объектам.
В ответ на эти угрозы F6 направила уведомления о блокировке вредоносных доменов в соответствующие органы. К июлю 2025 года в зоне .ru было заблокировано более 110 таких доменов, а также Telegram-канал, распространяющий вредоносное программное обеспечение Nyashteam. Этот случай показывает, как упреждающий мониторинг и анализ инфраструктуры могут эффективно ограничить доступ провайдеров MaaS, хотя для противодействия растущим хакерским атакам необходимы постоянные усилия. Блокировка доменов остается важнейшей стратегией предотвращения распространения вредоносных программ в цифровом пространстве, демонстрируя важность скоординированных мер реагирования на киберпреступность.
#technique
Golden dMSA: What Is dMSA Authentication Bypass?
https://www.semperis.com/blog/golden-dmsa-what-is-dmsa-authentication-bypass/
Golden dMSA: What Is dMSA Authentication Bypass?
https://www.semperis.com/blog/golden-dmsa-what-is-dmsa-authentication-bypass/
#technique
Bloodfang is a modern implant with position independent code that compiles to 64 & 32 bit Windows systems. Compiled implant shellcode is about 6 KB (Kilobytes). Its execution in memory has very little footprint.
https://github.com/zarkones/BloodfangC2
Bloodfang is a modern implant with position independent code that compiles to 64 & 32 bit Windows systems. Compiled implant shellcode is about 6 KB (Kilobytes). Its execution in memory has very little footprint.
https://github.com/zarkones/BloodfangC2
GitHub
GitHub - zarkones/BloodfangC2: Modern PIC implant for Windows (64 & 32 bit)
Modern PIC implant for Windows (64 & 32 bit). Contribute to zarkones/BloodfangC2 development by creating an account on GitHub.
#technique
LudusHound is a tool for red and blue teams that transforms BloodHound data into a fully functional, Active Directory replica environment via Ludus for controlled testing.
https://github.com/bagelByt3s/LudusHound
LudusHound is a tool for red and blue teams that transforms BloodHound data into a fully functional, Active Directory replica environment via Ludus for controlled testing.
https://github.com/bagelByt3s/LudusHound
GitHub
GitHub - bagelByt3s/LudusHound: LudusHound is a tool for red and blue teams that transforms BloodHound data into a fully functional…
LudusHound is a tool for red and blue teams that transforms BloodHound data into a fully functional, Active Directory replica environment via Ludus for controlled testing. - bagelByt3s/LudusHound
#technique
Evil VM: From Guest Compromise To Entra Admin In 9 Easy Steps
https://www.beyondtrust.com/blog/entry/evil-vm
Evil VM: From Guest Compromise To Entra Admin In 9 Easy Steps
https://www.beyondtrust.com/blog/entry/evil-vm
BeyondTrust
Guest to Entra Admin in 9 Steps: Microsoft Entra ID… | BeyondTrust
Discover how attackers can escalate privileges in Entra ID using Azure VMs, PRT theft, and device identity abuse. Learn how the “Evil VM” attack unfolds,…
#ParsedReport #CompletenessLow
23-07-2025
Fake Zoom Call Lures for Zoom Workplace Credentials
https://cofense.com/blog/fake-zoom-call-lures-for-zoom-workplace-credentials
Report completeness: Low
Victims:
Zoom users, Employees
ChatGPT TTPs:
T1036.005, T1078, T1087.002, T1204.001, T1566.001
IOCs:
Url: 4
IP: 13
Soft:
Zoom, Telegram
23-07-2025
Fake Zoom Call Lures for Zoom Workplace Credentials
https://cofense.com/blog/fake-zoom-call-lures-for-zoom-workplace-credentials
Report completeness: Low
Victims:
Zoom users, Employees
ChatGPT TTPs:
do not use without manual checkT1036.005, T1078, T1087.002, T1204.001, T1566.001
IOCs:
Url: 4
IP: 13
Soft:
Zoom, Telegram
Cofense
Fake Zoom Call Lures for Zoom Workplace Credentials
The Cofense Phishing Defense Center (PDC) recently observed a new phishing campaign in which threat actors are leveraging fake invitations to Zoom meetings to harvest the Zoom Workplace credentials of