#ParsedReport #CompletenessHigh
22-07-2025

Disrupting active exploitation of on-premises SharePoint vulnerabilities

https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/

Report completeness: High

Actors/Campaigns:
Emissary_panda
Apt31 (motivation: cyber_espionage)
Storm-2603
Fin11

Threats:
Lockbit
Ngrok_tool
Trojan:win32/hijacksharepointserver.a
Toolshell_vuln

Victims:
Organizations, Government, Defense, Strategic planning, Human rights organizations, Former government and military personnel, Ngos, Think tanks, Higher education, Digital media, have more...

Industry:
Healthcare, Education, Ngo, Military, Government

Geo:
China, Asia, Chinese

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-49706 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


TTPs:
Tactics: 5
Technics: 3

IOCs:
File: 7
Url: 1
IP: 4
Hash: 1

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, SharePoint Server, SharePoint server ASP.NET, Microsoft SharePoint Server, harePoint server -, harePoint server vu, Twitter, Office 365

Algorithms:
sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Активные атаки нацелены на локальные серверы SharePoint, использующие CVE-2025-49706 и CVE-2025-49704, связанные с китайскими государственными структурами Linen Typhoon и Violet Typhoon. Злоумышленники используют вредоносные скрипты для извлечения конфиденциальных данных, что побуждает корпорацию Майкрософт выпускать срочные обновления для системы безопасности.
-----

19 июля 2025 года Центр реагирования Microsoft Security Response Center (MSRC) предупредил пользователей об активных атаках, использующих уязвимости в локальных серверах SharePoint, в частности CVE-2025-49706, уязвимость подмены, и CVE-2025-49704, которая позволяет удаленно выполнять код (RCE). Примечательно, что эти уязвимости затрагивают только локальные серверы SharePoint, за исключением SharePoint Online в Microsoft 365. Корпорация Майкрософт незамедлительно выпустила обновления для системы безопасности для всех поддерживаемых версий SharePoint Server (выпуски по подписке 2019 и 2016 годов), настоятельно рекомендуя клиентам применять эти обновления без промедления.

В обновления включены связанная с этим уязвимость CVE-2025-53770, которая также относится к RCE-аспекту CVE-2025-49704, и CVE-2025-53771, уязвимость для обхода системы безопасности, связанная с CVE-2025-49706. Microsoft обнаружила использование этих уязвимостей в основном двумя китайскими государственными структурами, Linen Typhoon и Violet Typhoon, а также другим китайским хакером, идентифицированным как Storm-2603. Расследования в отношении других участников, использующих эти уязвимости, продолжаются, и Корпорация Майкрософт выражает глубокую уверенность в том, что эти участники будут продолжать внедрять эти эксплойты в незащищенные системы.

В реальных сценариях атаки хакеры использовали созданный POST-запрос для загрузки вредоносного скрипта с именем spinstall0.aspx, с различными вариантами имени файла, такими как spinstall.aspx, spinstall1.aspx и другими. Этот скрипт запрограммирован на извлечение данных machineKey, что позволяет злоумышленникам извлекать конфиденциальные ключевые материалы. Попытки эксплуатации связаны с прошлой деятельностью этих субъектов: Linen Typhoon нацелен на такие сектора, как правительство и оборона, для хищения интеллектуальной собственности, в то время как Violet Typhoon специализируется на шпионаже против таких организаций, как НПО и аналитические центры.

Хотя Storm-2603 и связан с этими уязвимостями, он продемонстрировал прошлые действия, связанные с внедрением программ-вымогателей, хотя его текущие цели остаются менее ясными. Корпорация Майкрософт описала несколько тактик, методов и процедур (TTP), используемых этими хакерами во время их атак на серверы SharePoint. Рекомендации по снижению рисков включают использование интерфейса проверки на наличие вредоносных программ (AMSI) в антивирусе Microsoft Defender, его настройку на полный режим, обеспечение ротации SharePoint server ASP.NET ключи компьютера и использование Microsoft Defender для решений Endpoint.

Для организаций, использующих Microsoft Defender XDR, важно своевременно отслеживать признаки использования, в частности, создание файла spinstall0.aspx, выполнение процессов, связанных с активностью веб-сервера, и команды PowerShell, указывающие на действия после использования. Используя предоставленные средства визуализации, клиенты могут повысить свою защищенность от постоянных угроз, связанных с локальными уязвимостями SharePoint.

#ParsedReport #CompletenessHigh
22-07-2025

EdskManager RAT: Multi-Stage Malware with HVNC and Evasion Capabilities

https://www.cyfirma.com/research/edskmanager-rat-multi-stage-malware-with-hvnc-and-evasion-capabilities/

Report completeness: High

Threats:
Edskmanager
Hvnc_tool
Process_injection_technique

TTPs:
Tactics: 9
Technics: 21

IOCs:
Hash: 11
Domain: 2
Url: 1
IP: 1
File: 2
Path: 1

Soft:
Chrome

Algorithms:
sha256, md5

Functions:
send

Win API:
LoadLibraryA, GetProcAddress, CreateWindowExW, PeekMessageW

Languages:
delphi

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
EdskManager RAT - это сложный троян для удаленного доступа, который использует многоэтапное заражение с помощью легального загрузчика программного обеспечения. Он использует DLL-файлы для вредоносных операций, скрытую связь C2 и HVNC для секретного контроля зараженных систем, повышая эффективность обхода и сохраняемости с помощью различных методов и нацеливаясь на браузерные расширения для получения данных.
-----

EdskManager RAT - это сложный троян для удаленного доступа (RAT), который использует многоэтапный процесс заражения для получения скрытого доступа к системам. Изначально он распространяется через загрузчик, который маскируется под легальное программное обеспечение. Загрузчик запускает ряд компонентов, таких как VideoManagerEntry.exe, который подписан действительным цифровым сертификатом. Однако вредоносные возможности встроены в DLL-файлы, включая commonbase.dll, который отвечает за выполнение операций вредоносного ПО. Вредоносная программа манипулирует памятью во время выполнения, используя такие методы, как операции "память-память" и запутывание команд, которые усложняют анализ и препятствуют обнаружению.

Вредоносная программа взаимодействует с серверами управления (C2) скрытно, используя socket API для отправки и получения сообщений, сжатых zlib. Сообщение C2 скрыто в разделе .itext файла commonbase.dll, который содержит важные данные конфигурации, в то время как файл .edskv содержит зашифрованную информацию, критически важную для работы вредоносной программы. Такая структура позволяет EdskManager RAT поддерживать динамичную инфраструктуру C2, переключаясь между доменами, чтобы усовершенствовать тактику обхода и повысить долговечность работы в уязвимых средах.

Ключевой особенностью EdskManager RAT является использование скрытых виртуальных сетевых вычислений (HVNC), позволяющих злоумышленнику управлять зараженными машинами без видимого предупреждения жертвы. Он создает скрытые окна для облегчения своей работы, используя такие функции, как CreateWindowExW и PeekMessageW, для бесшумного прослушивания команд. Эта невидимость имеет решающее значение для его дизайна, поскольку позволяет злоумышленникам сохранять долгосрочный доступ и выполнять различные вредоносные действия незамеченными.

RAT демонстрирует передовые методы обхода, позволяющие избежать обнаружения программным обеспечением безопасности, включая подключение к API и отладчик. Он обеспечивает постоянство с помощью нескольких методов, создавая запланированные задачи, изменяя реестр автозапуска и размещая ярлыки в папке автозагрузки, чтобы обеспечить запуск после перезагрузки системы. Кроме того, EdskManager RAT проводит разведывательную деятельность, в частности, нацеливаясь на браузерные расширения для хранения конфиденциальных данных, которые позиционируют вредоносное ПО для потенциального использования в будущем.

#ParsedReport #CompletenessLow
22-07-2025

Operation "Liquidation": We study and block the infrastructure of the Nyashteam group

https://www.f6.ru/blog/nyashteam/

Report completeness: Low

Actors/Campaigns:
Nyashteam (motivation: cyber_criminal, cyber_espionage)

Threats:
Webrat
Dcrat
Xworm_rat

Industry:
Logistic, Entertainment, Petroleum

Geo:
Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1005, T1055, T1056.001, T1071.001, T1105, T1106, T1113, T1204.002, T1219, T1566.002, have more...

IOCs:
Domain: 129
File: 1
Hash: 5

Soft:
Telegram, Steam

Algorithms:
sha1, sha256, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Nyashteam предлагает Malware-As-A-Service (MaaS), предоставляя два семейства вредоносных программ, DCRAT и Webrat, ориентированных в первую очередь на русскоязычных пользователей. DCRAT, программа RAT для управления устройствами, и Webrat, программа для кражи данных в браузерах, поставляются с плагинами для специализированных атак. Более 350 доменов, размещенных на Nyashteam, способствовали распространению вредоносного ПО, что привело к целенаправленным фишинговым атакам.
-----

Аналитики F6 выявили и взломали сеть групповых доменов, занимающихся распространением вредоносного ПО и предоставлением услуг хостинга для инфраструктуры киберпреступности, используя модель, известную как "Вредоносное ПО как услуга" (MaaS). Эта модель позволяет неопытным злоумышленникам проводить сложные кибератаки с минимальными знаниями. Группа Nyashteam, которая работает как минимум с 2022 года, иллюстрирует эту тенденцию, предлагая два семейства вредоносных программ — DCRAT и Webrat — с помощью ботов Telegram и специализированных веб-сайтов. Группа нацелена в первую очередь на русскоязычную аудиторию, но ее сервисы доступны злоумышленникам по всему миру. Их популярность обусловлена относительно низкими затратами и удобным интерфейсом.

DCRAT - это троян удаленного доступа (RAT), признанный с 2018 года, который позволяет злоумышленникам управлять зараженными устройствами, перехватывать нажатия клавиш, получать доступ к веб-камерам, красть пароли и выполнять произвольные команды. Webrat специализируется на краже данных из браузеров, таких как пароли и файлы cookie, и поддерживает удаленные команды и доставку дополнительных вредоносных программ. Nyashteam расширяет свои услуги более чем 20 плагинами для DCRAT и Webrat, позволяя использовать различные вредоносные программы - от кражи данных до продвинутого шпионажа. Они предоставляют руководства по распространению вредоносных программ и инструменты для обработки данных, полученных из скомпрометированных систем, что повышает прибыльность их деятельности.

Операционная модель Nyashteam также предусматривает регистрацию доменов для размещения вредоносных программ, и аналитики F6 зарегистрировали более 350 доменов второго уровня. Эти домены часто выглядят законными и используются для облегчения распространения DCRAT. Примечательно, что Confman group использовала домен, связанный с Nyashteam, для распространения DCRAT с помощью фишинговых электронных писем, адресованных компаниям из различных отраслей, включая логистику и IT. Другая преступная группа, Businessman, использовала услуги Nyashteam для проникновения к пользователям более чем в 50 странах, уделяя особое внимание российским объектам.

В ответ на эти угрозы F6 направила уведомления о блокировке вредоносных доменов в соответствующие органы. К июлю 2025 года в зоне .ru было заблокировано более 110 таких доменов, а также Telegram-канал, распространяющий вредоносное программное обеспечение Nyashteam. Этот случай показывает, как упреждающий мониторинг и анализ инфраструктуры могут эффективно ограничить доступ провайдеров MaaS, хотя для противодействия растущим хакерским атакам необходимы постоянные усилия. Блокировка доменов остается важнейшей стратегией предотвращения распространения вредоносных программ в цифровом пространстве, демонстрируя важность скоординированных мер реагирования на киберпреступность.

#technique

Golden dMSA: What Is dMSA Authentication Bypass?

https://www.semperis.com/blog/golden-dmsa-what-is-dmsa-authentication-bypass/

#technique

Bloodfang is a modern implant with position independent code that compiles to 64 & 32 bit Windows systems. Compiled implant shellcode is about 6 KB (Kilobytes). Its execution in memory has very little footprint.

https://github.com/zarkones/BloodfangC2

#technique

LudusHound is a tool for red and blue teams that transforms BloodHound data into a fully functional, Active Directory replica environment via Ludus for controlled testing.

https://github.com/bagelByt3s/LudusHound

#technique

Evil VM: From Guest Compromise To Entra Admin In 9 Easy Steps

https://www.beyondtrust.com/blog/entry/evil-vm

#ParsedReport #CompletenessLow
23-07-2025

Fake Zoom Call Lures for Zoom Workplace Credentials

https://cofense.com/blog/fake-zoom-call-lures-for-zoom-workplace-credentials

Report completeness: Low

Victims:
Zoom users, Employees

ChatGPT TTPs:
do not use without manual check
T1036.005, T1078, T1087.002, T1204.001, T1566.001

IOCs:
Url: 4
IP: 13

Soft:
Zoom, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания использует подход, связанный с использованием Zoom, создавая срочность в электронных письмах, чтобы обманом заставить пользователей переходить по вредоносным ссылкам. Жертвы направляются к поддельному интерфейсу Zoom, который захватывает их учетные данные и отправляет данные злоумышленникам через Telegram, что потенциально облегчает доступ к APTs.
-----

В недавней фишинговой кампании, за которой наблюдал Центр защиты от фишинга Cofense (PDC), использовался подход, основанный на использовании уязвимостей пользователей. В этой кампании используется психологическая тактика, в частности, создается ложное ощущение срочности, чтобы побудить к поспешным действиям. Фишинговые электронные письма содержат такие темы, как "СРОЧНО - экстренная встреча", а также такие срочные формулировки, как "критическая проблема" и "не терпит отлагательств", что значительно повышает вероятность вовлечения пользователей, как показали исследования поведения фишинговых пользователей.

В рамках кампании используются вводящие в заблуждение гиперссылки, когда в электронном письме содержится URL-адрес, который выглядит законным, но на самом деле ведет получателей на вредоносный сайт. URL-адреса предназначены для отслеживания пользователей и введения их в заблуждение, заставляя думать, что они присоединяются к настоящему собранию Zoom. Как только пользователь нажимает на ссылку, ему открывается поддельный интерфейс "присоединения к собранию", который имитирует реальную среду масштабирования, включая реалистичные визуальные эффекты, например, участники, участвующие в видеозвонке. Вскоре после этого жертвы сталкиваются с диалоговым окном "время ожидания подключения к совещанию истекло", которое перенаправляет их на фишинговую страницу с учетными данными, практически неотличимыми от подлинного входа в систему Zoom.

Эта тактика олицетворения включает в себя предварительное заполнение поля электронной почты адресом цели, что повышает вероятность обмана. Когда жертвы вводят свои учетные данные на этой фишинговой странице, их информация, включая IP—адрес, страну и регион, перехватывается и отправляется злоумышленникам через Telegram, платформу, известную своей защищенной коммуникацией. Такая компрометация учетных данных Zoom может способствовать горизонтальному перемещению внутри организации, что потенциально может привести к появлению APT (APT-приложений).

Эта кампания подчеркивает эволюцию методов хакеров, которые используют знакомые технологии, и психологическую уязвимость пользователей, подчеркивая необходимость надежной осведомленности и стратегий обнаружения в области кибербезопасности.

#ParsedReport #CompletenessHigh
23-07-2025

Soco404: Multiplatform Cryptomining Campaign Uses Fake Error Pages to Hide Payload

https://www.wiz.io/blog/soco404-multiplatform-cryptomining-campaign-uses-fake-error-pages-to-hide-payload

Report completeness: High

Actors/Campaigns:
Soco404

Threats:
Garble_tool
C3pool
Xmrig_miner
Password_spray_technique
Smuggling_technique
Process_injection_technique

Victims:
Korean transportation website

Industry:
Transport

Geo:
Russian, Korean

CVEs:
CVE-2025-53771 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-24813 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache tomcat (<9.0.99, <10.1.35, <11.0.3, 9.0.0, 10.1.0)


TTPs:
Tactics: 1
Technics: 19

IOCs:
Path: 2
Hash: 26
Url: 4
Domain: 7
Coin: 2
File: 5
Command: 1

Soft:
PostgreSQL, Linux, curl, Microsoft SharePoint Server, PostgresSQL, Apache Tomcat, crontab, systemd, Unix, Windows Service, have more...

Algorithms:
base64, sha256

Win Services:
eventlog

Languages:
powershell, python

Links:
https://github.com/burrowers/garble

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Soco404 cryptomining использует неправильно настроенные базы данных PostgreSQL в облачных средах, внедряя вредоносное ПО в системы Linux и Windows через взломанные серверы. Методы включают использование законных утилит для доставки полезной нагрузки, использование скрипта-дроппера для установки и запуск вредоносного ПО с возможностями внедрения процессов и выполнения команд для повышения стойкости и скрытности. Примечательно, что он нацелен на такие уязвимости, как CVE-2025-53770 и CVE-2025-53771 в SharePoint Server, одновременно используя кластеры скомпрометированной инфраструктуры для создания всеобъемлющей экосистемы крипто-мошенничества.
-----

Wiz Research обнаружила новую фазу вредоносной кампании по криптомайнингу под названием Soco404, которая использует передовые технологии для использования уязвимостей в облачных средах, уделяя особое внимание неправильной конфигурации баз данных PostgreSQL. Кампания внедряет вредоносное ПО, нацеленное как на системы Linux, так и на Windows, используя взломанные серверы для доставки DLL-файлов и исполняемых файлов. Злоумышленники используют различные легальные утилиты, такие как certutil, PowerShell Invoke-WebRequest и curl, чтобы повысить свои шансы на успешную загрузку и выполнение вредоносных двоичных файлов, таких как ok.exe, в среде Windows. Эти двоичные файлы часто извлекаются в общедоступные каталоги, которые легко доступны для записи, что облегчает их установку.

Вредоносная программа работает с использованием скрипта-дроппера с именем soco.sh, который отвечает за инициирование загрузки полезной нагрузки и обеспечение ее выполнения при минимальном обнаружении. Он генерирует случайные имена файлов, чтобы избежать проверки, и может самоудаляться, чтобы оставаться незаметным. При успешном выполнении один примечательный двоичный файл (app2) используется в качестве загрузчика, который после распаковки в памяти маскируется под законный системный процесс, чтобы скрыть свои злонамеренные намерения. Эта тактика включает в себя создание дочерних процессов, которые используют взаимодействие с локальными сокетами для повышения стойкости вредоносного ПО посредством периодических заданий cron или системных взаимодействий.

Кроме того, активно используются многочисленные уязвимости, в частности, CVE-2025-53770 и CVE-2025-53771 в Microsoft SharePoint Server, которые являются критически важными. Злоумышленники получают доступ к скомпрометированным серверам, гарантируя надежную доставку своего вредоносного ПО из надежной инфраструктуры; это включает в себя законные сайты, которые были взломаны, что усложняет задачу защиты по выявлению и блокированию таких угроз.

Ключом к операционной структуре Soco404 является объединение различных кластеров инфраструктуры: “Поддельных доменов 404”, в которых размещаются встроенные вредоносные программы, мошеннические веб-сайты с криптовалютами и скомпрометированные сети, такие как экземпляры Apache Tomcat. Они представляют собой более широкую стратегию по созданию всеобъемлющей экосистемы крипто-мошенничества.

Жизненный цикл вредоносного ПО использует различные стратегии перемещения в разные стороны, включая внедрение процессов и выполнение команд, например, внедрение пользовательского драйвера Windows, WinRing0.sys для улучшения контроля над системными ресурсами и производительностью во время операций по добыче криптовалюты. Кампания, судя по всему, продолжается, с активными подключениями к пулам майнинга и недавно обнаруженным доменам, связанным с действиями, связанными с угрозами. Рекомендуемые меры защиты включают мониторинг индикаторов компрометации (IOCs) и использование датчиков времени выполнения для обнаружения подозрительного поведения, связанного с цепочкой завершения атаки, от эксплуатации до постоянных попыток криптомайнинга.

#ParsedReport #CompletenessLow
23-07-2025

Defending Against ToolShell: SharePoints Latest Critical Vulnerability

https://www.sentinelone.com/blog/defending-against-toolshell-sharepoints-latest-critical-vulnerability/

Report completeness: Low

Threats:
Toolshell_vuln

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1190, T1203, T1505.003

IOCs:
Hash: 3
File: 3
IP: 3

Soft:
SharePoint Server

Algorithms:
sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4