#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Nyashteam предлагает Malware-As-A-Service (MaaS), предоставляя два семейства вредоносных программ, DCRAT и Webrat, ориентированных в первую очередь на русскоязычных пользователей. DCRAT, программа RAT для управления устройствами, и Webrat, программа для кражи данных в браузерах, поставляются с плагинами для специализированных атак. Более 350 доменов, размещенных на Nyashteam, способствовали распространению вредоносного ПО, что привело к целенаправленным фишинговым атакам.
-----

Аналитики F6 выявили и взломали сеть групповых доменов, занимающихся распространением вредоносного ПО и предоставлением услуг хостинга для инфраструктуры киберпреступности, используя модель, известную как "Вредоносное ПО как услуга" (MaaS). Эта модель позволяет неопытным злоумышленникам проводить сложные кибератаки с минимальными знаниями. Группа Nyashteam, которая работает как минимум с 2022 года, иллюстрирует эту тенденцию, предлагая два семейства вредоносных программ — DCRAT и Webrat — с помощью ботов Telegram и специализированных веб-сайтов. Группа нацелена в первую очередь на русскоязычную аудиторию, но ее сервисы доступны злоумышленникам по всему миру. Их популярность обусловлена относительно низкими затратами и удобным интерфейсом.

DCRAT - это троян удаленного доступа (RAT), признанный с 2018 года, который позволяет злоумышленникам управлять зараженными устройствами, перехватывать нажатия клавиш, получать доступ к веб-камерам, красть пароли и выполнять произвольные команды. Webrat специализируется на краже данных из браузеров, таких как пароли и файлы cookie, и поддерживает удаленные команды и доставку дополнительных вредоносных программ. Nyashteam расширяет свои услуги более чем 20 плагинами для DCRAT и Webrat, позволяя использовать различные вредоносные программы - от кражи данных до продвинутого шпионажа. Они предоставляют руководства по распространению вредоносных программ и инструменты для обработки данных, полученных из скомпрометированных систем, что повышает прибыльность их деятельности.

Операционная модель Nyashteam также предусматривает регистрацию доменов для размещения вредоносных программ, и аналитики F6 зарегистрировали более 350 доменов второго уровня. Эти домены часто выглядят законными и используются для облегчения распространения DCRAT. Примечательно, что Confman group использовала домен, связанный с Nyashteam, для распространения DCRAT с помощью фишинговых электронных писем, адресованных компаниям из различных отраслей, включая логистику и IT. Другая преступная группа, Businessman, использовала услуги Nyashteam для проникновения к пользователям более чем в 50 странах, уделяя особое внимание российским объектам.

В ответ на эти угрозы F6 направила уведомления о блокировке вредоносных доменов в соответствующие органы. К июлю 2025 года в зоне .ru было заблокировано более 110 таких доменов, а также Telegram-канал, распространяющий вредоносное программное обеспечение Nyashteam. Этот случай показывает, как упреждающий мониторинг и анализ инфраструктуры могут эффективно ограничить доступ провайдеров MaaS, хотя для противодействия растущим хакерским атакам необходимы постоянные усилия. Блокировка доменов остается важнейшей стратегией предотвращения распространения вредоносных программ в цифровом пространстве, демонстрируя важность скоординированных мер реагирования на киберпреступность.

#technique

Golden dMSA: What Is dMSA Authentication Bypass?

https://www.semperis.com/blog/golden-dmsa-what-is-dmsa-authentication-bypass/

#technique

Bloodfang is a modern implant with position independent code that compiles to 64 & 32 bit Windows systems. Compiled implant shellcode is about 6 KB (Kilobytes). Its execution in memory has very little footprint.

https://github.com/zarkones/BloodfangC2

#technique

LudusHound is a tool for red and blue teams that transforms BloodHound data into a fully functional, Active Directory replica environment via Ludus for controlled testing.

https://github.com/bagelByt3s/LudusHound

#technique

Evil VM: From Guest Compromise To Entra Admin In 9 Easy Steps

https://www.beyondtrust.com/blog/entry/evil-vm

#ParsedReport #CompletenessLow
23-07-2025

Fake Zoom Call Lures for Zoom Workplace Credentials

https://cofense.com/blog/fake-zoom-call-lures-for-zoom-workplace-credentials

Report completeness: Low

Victims:
Zoom users, Employees

ChatGPT TTPs:
do not use without manual check
T1036.005, T1078, T1087.002, T1204.001, T1566.001

IOCs:
Url: 4
IP: 13

Soft:
Zoom, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания использует подход, связанный с использованием Zoom, создавая срочность в электронных письмах, чтобы обманом заставить пользователей переходить по вредоносным ссылкам. Жертвы направляются к поддельному интерфейсу Zoom, который захватывает их учетные данные и отправляет данные злоумышленникам через Telegram, что потенциально облегчает доступ к APTs.
-----

В недавней фишинговой кампании, за которой наблюдал Центр защиты от фишинга Cofense (PDC), использовался подход, основанный на использовании уязвимостей пользователей. В этой кампании используется психологическая тактика, в частности, создается ложное ощущение срочности, чтобы побудить к поспешным действиям. Фишинговые электронные письма содержат такие темы, как "СРОЧНО - экстренная встреча", а также такие срочные формулировки, как "критическая проблема" и "не терпит отлагательств", что значительно повышает вероятность вовлечения пользователей, как показали исследования поведения фишинговых пользователей.

В рамках кампании используются вводящие в заблуждение гиперссылки, когда в электронном письме содержится URL-адрес, который выглядит законным, но на самом деле ведет получателей на вредоносный сайт. URL-адреса предназначены для отслеживания пользователей и введения их в заблуждение, заставляя думать, что они присоединяются к настоящему собранию Zoom. Как только пользователь нажимает на ссылку, ему открывается поддельный интерфейс "присоединения к собранию", который имитирует реальную среду масштабирования, включая реалистичные визуальные эффекты, например, участники, участвующие в видеозвонке. Вскоре после этого жертвы сталкиваются с диалоговым окном "время ожидания подключения к совещанию истекло", которое перенаправляет их на фишинговую страницу с учетными данными, практически неотличимыми от подлинного входа в систему Zoom.

Эта тактика олицетворения включает в себя предварительное заполнение поля электронной почты адресом цели, что повышает вероятность обмана. Когда жертвы вводят свои учетные данные на этой фишинговой странице, их информация, включая IP—адрес, страну и регион, перехватывается и отправляется злоумышленникам через Telegram, платформу, известную своей защищенной коммуникацией. Такая компрометация учетных данных Zoom может способствовать горизонтальному перемещению внутри организации, что потенциально может привести к появлению APT (APT-приложений).

Эта кампания подчеркивает эволюцию методов хакеров, которые используют знакомые технологии, и психологическую уязвимость пользователей, подчеркивая необходимость надежной осведомленности и стратегий обнаружения в области кибербезопасности.

#ParsedReport #CompletenessHigh
23-07-2025

Soco404: Multiplatform Cryptomining Campaign Uses Fake Error Pages to Hide Payload

https://www.wiz.io/blog/soco404-multiplatform-cryptomining-campaign-uses-fake-error-pages-to-hide-payload

Report completeness: High

Actors/Campaigns:
Soco404

Threats:
Garble_tool
C3pool
Xmrig_miner
Password_spray_technique
Smuggling_technique
Process_injection_technique

Victims:
Korean transportation website

Industry:
Transport

Geo:
Russian, Korean

CVEs:
CVE-2025-53771 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-24813 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache tomcat (<9.0.99, <10.1.35, <11.0.3, 9.0.0, 10.1.0)


TTPs:
Tactics: 1
Technics: 19

IOCs:
Path: 2
Hash: 26
Url: 4
Domain: 7
Coin: 2
File: 5
Command: 1

Soft:
PostgreSQL, Linux, curl, Microsoft SharePoint Server, PostgresSQL, Apache Tomcat, crontab, systemd, Unix, Windows Service, have more...

Algorithms:
base64, sha256

Win Services:
eventlog

Languages:
powershell, python

Links:
https://github.com/burrowers/garble

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Soco404 cryptomining использует неправильно настроенные базы данных PostgreSQL в облачных средах, внедряя вредоносное ПО в системы Linux и Windows через взломанные серверы. Методы включают использование законных утилит для доставки полезной нагрузки, использование скрипта-дроппера для установки и запуск вредоносного ПО с возможностями внедрения процессов и выполнения команд для повышения стойкости и скрытности. Примечательно, что он нацелен на такие уязвимости, как CVE-2025-53770 и CVE-2025-53771 в SharePoint Server, одновременно используя кластеры скомпрометированной инфраструктуры для создания всеобъемлющей экосистемы крипто-мошенничества.
-----

Wiz Research обнаружила новую фазу вредоносной кампании по криптомайнингу под названием Soco404, которая использует передовые технологии для использования уязвимостей в облачных средах, уделяя особое внимание неправильной конфигурации баз данных PostgreSQL. Кампания внедряет вредоносное ПО, нацеленное как на системы Linux, так и на Windows, используя взломанные серверы для доставки DLL-файлов и исполняемых файлов. Злоумышленники используют различные легальные утилиты, такие как certutil, PowerShell Invoke-WebRequest и curl, чтобы повысить свои шансы на успешную загрузку и выполнение вредоносных двоичных файлов, таких как ok.exe, в среде Windows. Эти двоичные файлы часто извлекаются в общедоступные каталоги, которые легко доступны для записи, что облегчает их установку.

Вредоносная программа работает с использованием скрипта-дроппера с именем soco.sh, который отвечает за инициирование загрузки полезной нагрузки и обеспечение ее выполнения при минимальном обнаружении. Он генерирует случайные имена файлов, чтобы избежать проверки, и может самоудаляться, чтобы оставаться незаметным. При успешном выполнении один примечательный двоичный файл (app2) используется в качестве загрузчика, который после распаковки в памяти маскируется под законный системный процесс, чтобы скрыть свои злонамеренные намерения. Эта тактика включает в себя создание дочерних процессов, которые используют взаимодействие с локальными сокетами для повышения стойкости вредоносного ПО посредством периодических заданий cron или системных взаимодействий.

Кроме того, активно используются многочисленные уязвимости, в частности, CVE-2025-53770 и CVE-2025-53771 в Microsoft SharePoint Server, которые являются критически важными. Злоумышленники получают доступ к скомпрометированным серверам, гарантируя надежную доставку своего вредоносного ПО из надежной инфраструктуры; это включает в себя законные сайты, которые были взломаны, что усложняет задачу защиты по выявлению и блокированию таких угроз.

Ключом к операционной структуре Soco404 является объединение различных кластеров инфраструктуры: “Поддельных доменов 404”, в которых размещаются встроенные вредоносные программы, мошеннические веб-сайты с криптовалютами и скомпрометированные сети, такие как экземпляры Apache Tomcat. Они представляют собой более широкую стратегию по созданию всеобъемлющей экосистемы крипто-мошенничества.

Жизненный цикл вредоносного ПО использует различные стратегии перемещения в разные стороны, включая внедрение процессов и выполнение команд, например, внедрение пользовательского драйвера Windows, WinRing0.sys для улучшения контроля над системными ресурсами и производительностью во время операций по добыче криптовалюты. Кампания, судя по всему, продолжается, с активными подключениями к пулам майнинга и недавно обнаруженным доменам, связанным с действиями, связанными с угрозами. Рекомендуемые меры защиты включают мониторинг индикаторов компрометации (IOCs) и использование датчиков времени выполнения для обнаружения подозрительного поведения, связанного с цепочкой завершения атаки, от эксплуатации до постоянных попыток криптомайнинга.

#ParsedReport #CompletenessLow
23-07-2025

Defending Against ToolShell: SharePoints Latest Critical Vulnerability

https://www.sentinelone.com/blog/defending-against-toolshell-sharepoints-latest-critical-vulnerability/

Report completeness: Low

Threats:
Toolshell_vuln

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1190, T1203, T1505.003

IOCs:
Hash: 3
File: 3
IP: 3

Soft:
SharePoint Server

Algorithms:
sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость нулевого дня "ToolShell" (CVE-2025-53770) в SharePoint Server делает возможным удаленное выполнение кода без проверки подлинности (RCE) с оценкой CVSS 9,8. Это представляет непосредственную угрозу, поскольку злоумышленники используют ее для получения контроля, утечки данных и перемещения по сетям. Организациям следует изолировать SharePoint, включить AMSI, применить доступные исправления и отслеживать подозрительное поведение.
-----

Критическая уязвимость нулевого дня, известная как "ToolShell" (CVE-2025-53770), представляет серьезную угрозу для локальных развертываний SharePoint Server, позволяя выполнять удаленный код без проверки подлинности (RCE). Эта уязвимость особенно опасна из-за ее статуса "нулевого дня", что означает, что ранее она была неизвестна и не была исправлена, что делало системы уязвимыми для использования. Она имеет высокий балл CVSS - 9,8, что указывает на ее критический характер. Злоумышленники могут использовать ToolShell без действительных учетных данных, что позволяет им выполнять произвольный код на уязвимых серверах SharePoint. Такое использование может привести к полному контролю над системой, утечке данных или их перемещению по сети. Имеющиеся данные свидетельствуют о том, что хакеры уже активно используют эту уязвимость в дикой природе, подчеркивая непосредственную угрозу, которую она представляет для организаций по всему миру.

Чтобы снизить риск, связанный с ToolShell, организациям следует внедрить многоуровневую стратегию защиты. Основные рекомендации включают изоляцию экземпляров SharePoint от общего доступа, включение интерфейса проверки на вредоносные программы (AMSI) в полном режиме для улучшения интеграции endpoint protection и применение любых доступных исправлений, предоставляемых корпорацией Майкрософт для уязвимых версий SharePoint. Организациям также рекомендуется интегрировать индикаторы компрометации (IOCs), связанные с ToolShell, в свои средства обеспечения безопасности, чтобы расширить возможности обнаружения потенциального использования. Они должны отслеживать подозрительное поведение в SharePoint, особенно в каталоге "МАКЕТЫ", и рассмотреть возможность проведения ретроактивного поиска угроз для выявления потенциальных предыдущих случаев использования.

Важность устранения уязвимости, связанной с ToolShell, трудно переоценить, учитывая ее потенциальную опасность для систем безопасности. Организациям необходимо действовать быстро, чтобы внедрить рекомендуемые защитные меры и обеспечить мониторинг своей среды на предмет наличия признаков этой угрозы.

#ParsedReport #CompletenessLow
23-07-2025

Uncovering a Stealthy WordPress Backdoor in mu-plugins

https://blog.sucuri.net/2025/07/uncovering-a-stealthy-wordpress-backdoor-in-mu-plugins.html

Report completeness: Low

Victims:
Wordpress users, Website owners

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1070.004, T1098.002, T1505.003

IOCs:
Url: 2
File: 4

Soft:
WordPress

Algorithms:
base64

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная вредоносная программа нацелена на WordPress, скрываясь в папке mu-plugins и используя загрузчик для получения удаленной полезной нагрузки, что позволяет удаленно выполнять команды и получать административный доступ. Она изменяет пароли администратора для усиления контроля и может устанавливать дополнительные вредоносные программы, создавая значительную угрозу целостности веб-сайта и конфиденциальности данных. Для снижения таких рисков необходимы регулярные обновления и меры безопасности.
-----

Недавние открытия выявили сложную вредоносную программу, скрытую в папке mu-plugins на сайтах WordPress. Эта вредоносная программа использует скрытую тактику, используя функцию "обязательные к использованию плагины", которая автоматически активирует плагины, которые нельзя отключить из панели администратора. Вредоносная программа функционирует как загрузчик, незаметно извлекая удаленную полезную нагрузку из URL-адреса, запутанного с помощью ROT13, и сохраняя ее в базе данных сайта, в частности, в записи _hdra_core в таблице параметров WordPress. Этот метод позволяет обойти обычное обнаружение файловой системы, позволяя вредоносному ПО оставаться незамеченным.

Ядро вредоносной программы представлено файлом с именем wp-index.php в каталоге mu-plugins, который по своей сути загружается WordPress, обеспечивая сохраняемость. Полезная нагрузка выполняется с помощью ряда функций WordPress, облегчающих удаленное выполнение команд. Как только запутанная полезная нагрузка расшифровывается, она раскрывает сложную структуру вредоносного ПО, предназначенную для получения административного доступа. Вызывает тревогу тот факт, что вредоносная программа включает в себя функцию изменения паролей для обычных имен пользователей администратора, таких как "admin" и "root", на установленные злоумышленником по умолчанию, тем самым укрепляя контроль над скомпрометированным сайтом.

Этот бэкдор предоставляет злоумышленникам широкие возможности, позволяя им устанавливать дополнительные вредоносные программы, портить сайт или даже использовать его в качестве стартовой площадки для дальнейших атак. Его скрытые функции позволяют ему скрываться от администраторов, стирать следы и избегать обнаружения плагинами безопасности, что создает значительную угрозу целостности веб-сайта и конфиденциальности пользовательских данных.

Для устранения таких угроз важно поддерживать WordPress, темы и плагины в актуальном состоянии, чтобы устранять любые уязвимости. Владельцы веб-сайтов должны использовать темы и плагины только из авторитетных источников и использовать надежные уникальные пароли для всех учетных записей. Активация двухфакторной аутентификации (2FA) обеспечивает дополнительный уровень безопасности, особенно для учетных записей администраторов. Также рекомендуется провести аудит файлов тем и плагинов, правильно настроить права доступа к файлам и отключить редактирование файлов в wp-config.php для дополнительной защиты от несанкционированного доступа.

Этот инцидент подчеркивает эволюционный характер хакеров, особенно в экосистеме WordPress. Используя каталог mu-plugins и хранилище базы данных для вредоносных программ, злоумышленники могут эффективно обходить обычные методы обнаружения, сохраняя доступ даже после попыток очистки. Регулярный мониторинг несанкционированных действий и всестороннее сканирование всех компонентов сайта необходимы для повышения безопасности от таких скрытых атак.

#ParsedReport #CompletenessMedium
23-07-2025

Fake CAPTCHA led to LUMMA100725

https://www.nccgroup.com/us/research-blog/fake-captcha-led-to-lumma100725/

Report completeness: Medium

Threats:
Fakecaptcha_technique
Lumma_stealer
Clickfix_technique

Geo:
France

TTPs:
Tactics: 5
Technics: 9

IOCs:
Domain: 5
Command: 2
Path: 5
File: 3
Url: 1
Hash: 4

Soft:
Microsoft Edge, Google Chrome, Windows Defender Firewall, AutoHotKey

Wallets:
iconx

Algorithms:
zip, sha1

Languages:
powershell, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года вредоносная программа LUMMA infostealer, инструмент русскоязычных хакеров, использовала методы T1189 и T1204 с помощью социальной инженерии для доступа к учетным данным пользователей Microsoft Edge и Google Chrome. Заражение включало команду PowerShell для загрузки вредоносных файлов и установления соединения C2 с "blameaowi.run", используя тактику обхода, такую как запутывание команд и mshta.exe.
-----

В мае 2025 года команда NCC Group по цифровой криминалистике и реагированию на инциденты (DFIR) расследовала киберинцидент, связанный с вредоносным ПО LUMMA infostealer. LUMMA, разновидность вредоносного ПО для кражи информации, была впервые обнаружена в декабре 2022 года и распространяется преимущественно русскоязычными хакерами по модели "Вредоносное ПО как услуга". LUMMA нацелена на конфиденциальные данные, включая учетные данные и данные браузера, и в ходе этого взаимодействия особое внимание было уделено хранилищам данных Microsoft Edge и Google Chrome, в частности "Регистрационным данным" и "Веб-данным"..

Атака началась с первоначального доступа, полученного с помощью компрометации, описанной в методике T1189. Пользователь был перенаправлен с законного веб-сайта на вредоносную страницу проверки с помощью капчи, которая использовала тактику социальной инженерии, чтобы обманом заставить пользователя запустить вредоносное ПО. После визита пользователя в течение нескольких минут произошла последовательность событий: PowerShell был задействован для выполнения команд и загрузки дополнительных файлов, что указывает на быстрый способ заражения.

В ходе атаки было использовано несколько методов, начиная с T1204 для выполнения пользователем, когда поддельный сайт с капчей предлагал пользователю запустить команду PowerShell, которая была тайно разработана для загрузки вредоносной полезной нагрузки. Конкретная выполненная команда была сильно запутана и включала вызов диалогового окна запуска Windows для выполнения дальнейшего вредоносного кода. Эта команда PowerShell была создана для загрузки zip-файла с именем “afc.zip” с подозрительного URL-адреса, наглядный пример T1059.001: Интерпретатор команд и сценариев: PowerShell.

Впоследствии были доставлены два файла: afc.zip и сценарий автоматической загрузки с именем "deci.com", созданный одновременно. Исполняемому файлу AutoIt было поручено получить доступ к данным браузера Microsoft Edge и Google Chrome, что позволило использовать методику T1555.003 для извлечения учетных данных из хранилища паролей. Этот процесс включал доступ к определенным файлам, в которых хранятся данные браузера.

Кроме того, вредоносный исполняемый файл инициировал исходящее соединение со своим сервером управления (C2), идентифицированным как "blameaowi.run", используя защищенные HTTPS-соединения, соответствующие стандарту T1071.001: Протокол прикладного уровня: Веб-протоколы. В ходе этого столкновения использовались различные методы уклонения, включая сильно запутанные команды (T1027) и использование mshta.exe для выполнения дальнейших команд без обнаружения (T1218.005).