#ParsedReport #CompletenessLow
24-07-2025

APT-C-06 (DarkHotel) attack campaign using malware as bait

https://mp.weixin.qq.com/s/Cx-v95Ua8U7I77-yQFckpA

Report completeness: Low

Actors/Campaigns:
Darkhotel

Threats:
Darkseal
Dll_hijacking_technique
Meterpreter_tool
Thinmon_tool
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Geo:
North korean

ChatGPT TTPs:
do not use without manual check
T1053.005, T1055.001, T1105, T1140, T1195.001, T1204.002, T1574.001, T1620

IOCs:
File: 3
Hash: 3

Soft:
WeChat

Algorithms:
xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейский хакер APT-C-06 использует вредоносные программы установки "hana9.30_x64_9.exe" и "winrar-x64-540.exe" для взлома систем через Baidu Netdisk и USB-накопители. Их полезная нагрузка DarkSeal выполняется через "dllhost.exe", используя для скрытности перехват DLL. В этой кампании особое внимание уделяется функциям начального доступа и промежуточного этапа, в то время как DarkSeal остается постоянным инструментом в продолжающихся атаках APT-C-06.
-----

С октября 2024 года северокорейский хакер APT-C-06 использует программу установки вредоносного метода ввода под названием "hana9.30_x64_9.exe". В июне наблюдалось увеличение числа заражений пользователей, что совпало с появлением дополнительного варианта вредоносного ПО "winrar-x64-540.exe." Эта вредоносная программа получает доступ к целевым компьютерам через такие платформы, как Baidu Netdisk, WeChat и USB flash-накопители, а затем внедряет полезную нагрузку второго этапа, известную как DarkSeal, которая уже несколько лет используется в APT-C-06.

Работа DarkSeal заключается в создании процесса "dllhost.exe" и внедрении в него шелл-кода через удаленный поток. Этот метод эффективно заменяет изначально установленную вредоносную программу на, казалось бы, безобидное приложение. Методология работы этого вредоносного компонента стабилизировалась с 2022 года, что указывает на постоянную последовательность действий в стратегиях атак APT-C-06. DarkSeal инициирует выполнение запланированной задачи, используя процессы перехвата и дешифрования библиотек DLL для загрузки дополнительной полезной нагрузки. Как правило, конечная полезная нагрузка, которая была идентифицирована как Meterpreter, может также включать компоненты Thinmon.

Шифрование данных в рамках этих полезных нагрузок использует метод исключения или дешифрования, связанный с жестко закодированным ключом, что позволяет программе разделить расшифрованную информацию на два сегмента: первый сегмент содержит шеллкод, который облегчает отражательную загрузку второго сегмента - фактической полезной нагрузки PE, содержащей функциональный код. Полезные функции, реализуемые в рамках последних кампаний APT-C-06, часто подразделяются на три этапа: начальный доступ, промежуточные функции и окончательное развертывание DarkSeal. Однако текущая кампания, по-видимому, сосредоточена в основном на начальном доступе и полезных нагрузках на промежуточных этапах, в то же время полагаясь на DarkSeal как на постоянный элемент атак. Устойчивость DarkSeal на фоне изменений в полезной нагрузке на начальном и среднем этапах разработки указывает на его значительную роль в сохранении угрозы APT-C-06.

#ParsedReport #CompletenessLow
24-07-2025

Imperva Customers Protected Against Critical ToolShell ZeroDay in Microsoft SharePoint

https://www.imperva.com/blog/imperva-customers-protected-against-critical-toolshell-zero%E2%80%91day-in-microsoft-sharepoint/

Report completeness: Low

Threats:
Toolshell_vuln

Industry:
Entertainment

CVEs:
CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1055.002, T1059.001, T1071.001, T1078.002, T1190, T1210, T1505.003

IOCs:
File: 3
Command: 1
Url: 1

Soft:
Microsoft SharePoint, SharePoint Server

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessLow
24-07-2025

Fire Ant: A Deep-Dive into Hypervisor-Level Espionage

https://www.sygnia.co/blog/fire-ant-a-deep-dive-into-hypervisor-level-espionage/

Report completeness: Low

Actors/Campaigns:
Fire_ant (motivation: cyber_espionage, financially_motivated)
Unc3886 (motivation: cyber_espionage)
Unc3668

Threats:
Virtualpita
Lsadump_tool
Neo-regeorg_tool
Medusa_rootkit
Credential_harvesting_technique
Portproxy_tool

Industry:
Telco, Critical_infrastructure

CVEs:
CVE-2022-1388 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_advanced_firewall_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_analytics (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_application_acceleration_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_application_security_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
have more...
CVE-2023-34048 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware vcenter_server (le5.5, 7.0, 8.0)

CVE-2023-20867 [Vulners]
CVSS V3.1: 3.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware tools (<12.2.5)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1003.001, T1021.001, T1021.004, T1036.003, T1037, T1047, T1055, T1059.001, T1059.006, have more...

IOCs:
File: 13
Path: 1

Soft:
ESXi, Linux, esxcli, Active Directory

Languages:
java, python, php, powershell

Links:
https://github.com/3gstudent/Homework-of-Python/blob/master/vCenter\_ExtraCertFromMdb.py
have more...
https://github.com/3gstudent/Homework-of-Python/blob/master/vCenter\_GenerateLoginCookie.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания кибершпионажа Fire Ant, потенциально связанная с UNC3886, нацелена на среды VMware и использует CVE-2023-34048 для удаленного выполнения кода без проверки подлинности. Злоумышленники обеспечивают постоянный доступ с помощью бэкдоров и несанкционированных VIB-рассылок, используя методы, позволяющие избежать обнаружения, манипулируя инфраструктурой и сохраняя контроль над сетями.
-----

Расследование Sygnia кампании кибершпионажа Fire Ant выявило сложную атаку, направленную на среды VMware ESXi и vCenter, а также сетевые устройства. Действующий с начала 2025 года и потенциально связанный с хакерской группой UNC3886, Fire Ant использовал уязвимости для обеспечения постоянного доступа в сегментированных сетях. Злоумышленники использовали методы на уровне гипервизора, чтобы избежать обнаружения и сохранить позиции в изолированных средах.

Первоначальный взлом произошел из-за использования CVE-2023-34048, уязвимости для записи за пределы системы в реализации DCERPC от vCenter. Это позволило хакеру выполнить удаленное выполнение кода без проверки подлинности, получив контроль над уровнем управления виртуализацией. После этого они извлекли учетные данные для учетной записи службы vpxuser, на которую не распространяются ограничения по блокировке, что позволило им получить доступ к подключенным хостам ESXi.

Оказавшись внутри, Fire Ant установил надежную защиту, развернув несколько бэкдоров, включая постоянный двоичный файл с именем "ksmd" на серверах vCenter. Этот двоичный файл облегчал удаленное выполнение команд и операций с файлами, в то время как на хостах ESXi были развернуты дополнительные пакеты несанкционированной установки VMware (VIBs) для обеспечения доступа. Эти VIBs содержали сценарии для запуска двоичных файлов при запуске системы, что еще больше усиливало присутствие злоумышленников.

Злоумышленники использовали возможности выполнения команд на гостевых виртуальных машинах, не требуя прямых учетных данных пользователя, используя CVE-2023-20867, что позволило им манипулировать процессами и извлекать учетные данные с помощью таких инструментов, как PowerCLI. Они выполняли закодированные команды PowerShell и использовали двоичный файл для исправления логики управления VMX, чтобы обойти гостевую аутентификацию. Более того, они использовали такие методы, как команды portproxy на скомпрометированных балансировщиках нагрузки (используя CVE-2022-1388), для создания туннелей, облегчающих несанкционированный доступ между сетями и манипулирование надежными путями, чтобы избежать обнаружения.

Оперативная устойчивость имела первостепенное значение, поскольку Fire Ant быстро адаптировался к усилиям по устранению неполадок. Они часто повторно подключались к средам через резервные точки доступа, использовали переименованные инструменты и изменяли конфигурации, чтобы продолжать работу даже после первоначальных попыток очистки. Участники сохраняли контроль над процессами ведения журнала, чтобы не привлекать внимания криминалистов, что еще больше усложняло усилия по реагированию.

Чтобы противостоять этим типам атак, организации должны внедрять строгие меры безопасности для инфраструктуры виртуализации. Это включает своевременное применение исправлений безопасности для серверов ESXi и vCenter, применение политики строгих паролей и регулярную смену паролей. Более того, ограничение прямого доступа к хостам ESXi и использование vCenter для административных действий могут повысить эффективность защиты. Включение режимов блокировки и безопасной загрузки на хостах ESXi также может предотвратить несанкционированный доступ и установку вредоносных компонентов, тем самым повышая общую безопасность от таких приложений, как Fire Ant.

#ParsedReport #CompletenessHigh
24-07-2025

Dropping Elephant APT Group Targets Turkish Defense Industry With New Campaign and Capabilities: LOLBAS, VLC Player, and Encrypted Shellcode

https://arcticwolf.com/resources/blog/dropping-elephant-apt-group-targets-turkish-defense-industry/

Report completeness: High

Actors/Campaigns:
Donot (motivation: cyber_espionage, cyber_criminal)
Greedy_sponge
Venom_spider

Threats:
Lolbas_technique
Dll_sideloading_technique
Spear-phishing_technique
Watering_hole_technique
Badnews_rat
Vajraspy
Lolbin_technique
Process_injection_technique
Timestomp_technique
Allakore_rat
Systembc
Giftedcrook
Polymorphism_technique

Victims:
Major turkish defense contractors, Weapons manufacturers, Precision-guided missile systems manufacturer, Defense sector entities, Industrial base companies

Industry:
Aerospace, Energy, Government, Healthcare, Ngo, Education, Maritime, Military

Geo:
Indian, Mexico, Ukraine, China, Asia, Japanese, Swedish, Iran, Turkey, Turkish, United kingdom, Norwegian, German, Dutch, French, Pakistan, Nederlands

TTPs:
Tactics: 5
Technics: 21

IOCs:
Domain: 4
IP: 2
File: 7
Path: 3
Hash: 8

Soft:
Task Scheduler, Linux, Windows Defender Application Control

Algorithms:
sha256, exhibit

Functions:
strtok

Win API:
CreateThread, GetComputerNameW, GetUserNameW, QueueUserAPC, CreateStreamOnHGlobal

Languages:
powershell, php

Platforms:
x64, cross-platform, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Dropping Elephant APT проводит кампанию по кибершпионажу, направленную против турецких оборонных подрядчиков, используя пятиэтапную атаку с использованием вредоносных файлов LNK и дополнительной загрузки DLL для уклонения от защиты. Вредоносная программа захватывает системную информацию, осуществляет эксфильтрацию данных через PowerShell и использует передовые методы, такие как манипулирование расширениями файлов, чтобы избежать обнаружения, что указывает на стратегическую направленность на военную обстановку в Турции.
-----

Команда Arctic Wolf Labs сообщила о новой кампании кибершпионажа, приписываемой группе APT, известной как Dropping Elephant, нацеленной на турецких оборонных подрядчиков, особенно в секторе высокоточных ракетных систем. В этой кампании используется сложный пятиэтапный метод атаки, который начинается с вредоносных файлов LNK, замаскированных под приглашения на конференцию, чтобы заманить жертв на выполнение этих файлов. Стратегия использования включает в себя легальные двоичные файлы, такие как VLC Media Player и Microsoft Task Scheduler, для обхода защиты с помощью методов сторонней загрузки DLL, что означает эволюцию от предыдущих атак, в которых использовались варианты DLL x64, к использованию исполняемых файлов x86 PE с улучшенной структурой команд.

Кампания согласуется с более широким геополитическим контекстом, в частности с расширением военного сотрудничества Турции с Пакистаном на фоне сохраняющейся напряженности в регионе, что позволяет предположить стратегические мотивы, стоящие за нападением. Анализ инфраструктуры освещаются оперативные меры безопасности, в частности, использование тактики олицетворения для создания командования и контроля (С2) центров, на примере вредоносных доменов expouav.org имитируя законных сайте конференции.

После запуска исходного файла LNK скрипты PowerShell используются для загрузки дополнительных вредоносных компонентов, которые запускаются через цепочку загрузки на основе PowerShell, чтобы обеспечить постоянство в зараженных системах. Заметным методом обхода является манипулирование расширениями файлов и использование запланированного задания для использования медиаплеера VLC для загрузки вредоносного кода. Интеграция обфускации строк в командные строки позволяет хакерам обходить механизмы обнаружения.

Основная функциональность вредоносного ПО включает в себя системное профилирование, такое как сбор информации о компьютере и пользователях, проверка на наличие особенностей окружающей среды, позволяющих избежать обнаружения, и захват скриншотов для фильтрации данных. Передача данных на сервер C2 осуществляется с помощью структурированных команд, проанализированных с помощью функции strtok, что позволяет хакеру отправлять команды и получать сгенерированные данные обратно из скомпрометированных систем.

Dropping Elephant демонстрирует адаптивный подход, отражающий более глубокое понимание как технических, так и геополитических условий, при стратегическом выборе целей в оборонном секторе Турции. Внедрение устоявшейся тактики "жизни за пределами суши" (LOLBA) в сочетании с методами социальной инженерии, такими как скрытый фишинг, повышает вероятность использования, поскольку их методы развиваются для дальнейшего обхода контроля безопасности.

Чтобы снизить риски, связанные с такими кампаниями, организациям рекомендуется повысить осведомленность пользователей, использовать надежные решения для обнаружения конечных точек и реагирования на них, а также внедрять упреждающие меры безопасности, такие как системы предотвращения вторжений и защищенные шлюзы электронной почты. Сегментация сети, последовательные обновления системы и применение принципов наименьших привилегий способствуют многоуровневой защите от APT, таких как те, которые были представлены при удалении Elephant.

#ParsedReport #CompletenessHigh
23-07-2025

Illusory Wishes: China-nexus APT Targets the Tibetan Community

https://www.zscaler.com/blogs/security-research/illusory-wishes-china-nexus-apt-targets-tibetan-community

Report completeness: High

Actors/Campaigns:
Ghostchat (motivation: cyber_espionage)
Phantomprayers (motivation: cyber_espionage)
Signsight
Ta428

Threats:
Gh0st_rat
Downtown
Dll_sideloading_technique
Process_injection_technique

Victims:
Tibetan community

Industry:
Telco

Geo:
Tibet, China, Tibetan

TTPs:
Tactics: 2
Technics: 27

IOCs:
Domain: 6
File: 13
Url: 6
Path: 3
Registry: 3
Hash: 14
IP: 1

Soft:
WebRTC, Windows registry, Windows service, PyInstaller

Algorithms:
aes-128, aes, xor, cbc, rc4, md5, zip

Win API:
VirtualProtect, NtMapViewOfSection, NtWriteVirtualMemory, RtlCreateUserThread, NtCreateSection, RtlCreateUserProcess, VirtualAlloc, decompress, ExitWindowsEx, SeShutdownPrivilege, have more...

Languages:
php, javascript, python

Platforms:
x86

Links:
https://github.com/ThreatLabz/tools/blob/main/operation\_ghostchat\_phantomprayers/gh0st\_rat\_config\_decoder.py
https://github.com/ThreatLabz/iocs/blob/main/operation\_ghostchat\_phantomprayers/phantomprayers\_check\_in\_data.csv

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2025 года две скоординированные кибератаки, операция "GhostChat" и операция "PhantomPrayers", были нацелены на тибетскую общину с использованием многоступенчатых методов заражения и внедрения вредоносных программ, таких как "Призрачная КРЫСА" и "Фантомнет", во время празднования дня рождения Далай-ламы. Атаки включали в себя загрузку библиотек DLL, социальную инженерию и вредоносные ссылки на законных веб-сайтах для распространения вредоносного программного обеспечения, что усложняло обнаружение из-за зашифрованных данных и пользовательских алгоритмов. Эти кампании выявляют постоянные угрозы со стороны китайских APT-групп, что требует тщательного мониторинга меняющихся тактик и поведения вредоносных программ.
-----

В июне 2025 года операции "GhostChat" и "PhantomPrayers" были направлены против тибетской общины во время празднования 90-летия Далай-ламы. Обе кампании были связаны с группой APT, работающей в Китае. Они использовали повышенную активность в Интернете для взлома законных веб-платформ и распространения вредоносных программ.

В ходе атак были применены многоэтапные методы заражения с использованием бэкдоров Ghost RAT и PhantomNet (SManager). Стратегическая веб-компрометация включала вредоносные ссылки на законный сайт, направляя жертв на мошенническую имитацию tibetfund.org.

Были использованы методы социальной инженерии, такие как сфабрикованные онлайн-приглашения, которые побуждали пользователей загружать вредоносное программное обеспечение, замаскированное под безопасное зашифрованное приложение для общения в чате. Такие методы, как дополнительная загрузка библиотеки DLL, позволяли выполнять вредоносный код через скомпрометированную подлинную библиотеку DLL.

Вредоносная библиотека DLL создавала системную устойчивость, избегала обнаружения с помощью вызовов Windows API и использовала зашифрованную полезную нагрузку для последующих этапов атаки. Конфигурация Ghost RAT была зашифрована с помощью специального алгоритма, что усложняло обнаружение.

Кампания PhantomPrayers была похожа на GhostChat, но хранила шеллкод во внешнем файле и включала интерактивный интерфейс для повышения легитимности. Оба семейства вредоносных программ использовали структуры подключаемых библиотек DLL и зашифрованные сообщения C2. PhantomNet обладал возможностями для временных операций и модульной функциональностью с помощью загружаемых плагинов.

Эти кампании являются примером эволюционирующей тактики спонсируемых государством противников, нацеленных на конкретные сообщества.

#ParsedReport #CompletenessLow
24-07-2025

EncryptHub Hacker Infiltrates Steam Game with Dual Malware Attack

https://www.secureblink.com/cyber-security-news/encrypt-hub-hacker-infiltrates-steam-game-with-dual-malware-attack

Report completeness: Low

Actors/Campaigns:
Encrypthub (motivation: cyber_criminal, financially_motivated)

Threats:
Fickle_stealer
Hijackloader
Plaguebot
Vidar_stealer
Ransomhub
Blacksuit_ransomware
Dll_sideloading_technique
Process_injection_technique
Uac_bypass_technique
Supply_chain_technique

Victims:
Steam, Aether forge studios, Chemia, Individual users

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1005, T1021.001, T1036.005, T1041, T1055, T1056.001, T1059.001, T1071.001, T1078, T1105, have more...

IOCs:
File: 2
Domain: 1

Soft:
Steam, Telegram, Windows Defender, Discord

Languages:
rust, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа EncryptHub взломала Steam с помощью игры "Chemia", используя две вредоносные программы: HijackLoader и Fickle Stealer, используя доверие геймеров. В ходе атаки использовались передовые методы уклонения, дополнительная загрузка библиотек DLL и PowerShell для фильтрации данных, что выявило уязвимости в играх раннего доступа.
-----

Киберпреступная группировка EncryptHub успешно взломала платформу Steam, нацелившись на игру для выживания в раннем доступе "Chemia", что ознаменовало значительный сдвиг в сторону атак, нацеленных на потребителей. Этот инцидент, произошедший 22 июля 2025 года, был связан с развертыванием двух полезных вредоносных программ: HijackLoader и Fickle Stealer, которые были доставлены через инфраструктуру управления Telegram (C2). Стратегия атаки использует доверие игроков к законным загрузкам игр, эффективно маскируя вредоносные действия в среде, которой в остальном можно доверять.

Первоначально EncryptHub внедрил HijackLoader (идентифицированный как CVKRUTNP.exe) в устройства жертвы, обеспечивая постоянство и функционирование в качестве механизма доставки вторичных полезных данных. Вскоре после этого Fickle Stealer, распространяемый с помощью вредоносного DLL-файла (cclib.dll), использовал сценарии PowerShell ("worker.ps1") для извлечения дополнительных вредоносных компонентов из взломанного домена. Вредоносная программа продемонстрировала продвинутые меры защиты от обнаружения, позволяющие ей незаметно работать во время игрового процесса, используя при этом законные имена процессов, чтобы органично вписаться в обычные системные операции.

Атака продемонстрировала возможности EncryptHub, особенно его многовекторный подход, который включает в себя SMS-фишинг и тактику олицетворения для получения первоначального доступа. С июня 2024 года, когда было взломано более 600 организаций, EncryptHub воспользовался уязвимостями игровых платформ, особенно тех, которые находятся на стадии раннего доступа и которые, как считается, имеют более низкие стандарты безопасности.

Как в HijackLoader, так и в Fickle Stealer используются сложные методы утечки данных: в HijackLoader используется дополнительная загрузка библиотек DLL и внедрение процессов для обхода мер безопасности, в то время как Fickle Stealer предназначен для сбора конфиденциальных данных, включая учетные данные и финансовую информацию, с использованием PowerShell для дальнейшего проникновения. Вредоносная программа Fickle Stealer дополняет возможности ранее обнаруженной полезной нагрузки Vidar, предназначенной для скрытой работы и взаимодействия с Telegram для сбора данных в режиме реального времени.

Инцидент отражает более широкие проблемы безопасности в игровой индустрии, особенно учитывая тенденцию к снижению осведомленности пользователей о рисках безопасности. Рекомендации по устранению таких угроз включают внедрение комплексного сканирования на наличие вредоносных программ, обязательную многофакторную аутентификацию для разработчиков и усовершенствование протоколов реагирования на инциденты. Игровые платформы должны уделять приоритетное внимание надежным мерам безопасности, которые защищают пользовательские данные без ущерба для удобства пользователей. Поскольку хакеры все больше внимания уделяют потребительским платформам, сотрудничество между разработчиками, экспертами по безопасности и пользователями имеет важное значение для создания надежных механизмов защиты от этих развивающихся угроз. Атака EncryptHub служит важным показателем появления хакеров в игровом секторе, подчеркивая необходимость принятия упреждающих и скоординированных стратегий обеспечения безопасности во всей отрасли.

#ParsedReport #CompletenessMedium
24-07-2025

Active exploitation of on-premise SharePoint Server vulnerabilities ToolShell

https://labs.withsecure.com/publications/toolshell.html

Report completeness: Medium

Threats:
Toolshell_vuln
Godzilla_webshell
Godzilla_loader
Remoteexec_tool
Asmloader_tool
Shellcodeloader
Netstat_tool
Badpotato_tool
Hrsword_tool
Process_injection_technique
W32/w3wplaunch.a!deepguard

Victims:
Microsoft sharepoint server users

Industry:
Government

Geo:
China

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2024-38094 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (-, 2016, 2019)

CVE-2020-0688 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1021.001, T1027, T1036, T1055, T1055.001, T1068, T1070.004, T1071.001, T1090.001, T1136.001, have more...

IOCs:
IP: 7
File: 5
Command: 5
Path: 2
Hash: 2

Soft:
SharePoint Server, ASP.NET

Algorithms:
cbc, aes, sha256, base64

Functions:
getBasicsInfo, GetSystemInformation

Languages:
swift

Links:
https://github.com/BeichenDream/BadPotato
https://github.com/Ridter/cve-2020-0688/blob/master/ExchangeCmdPy.py#L338
have more...
https://github.com/Ridter/MSSQL\_CLR/blob/6f1df259cbd7f8790550861f6a72d6d2f4cbe241/Database/CLR\_module/Sharploader.cs#L190

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
19 июля 2025 года Microsoft раскрыла факт активного использования уязвимостей CVE-2025-53770 и CVE-2025-53771 в серверах SharePoint, позволяющих удаленно выполнять код без проверки подлинности. Злоумышленники используют веб-оболочку Godzilla для постоянного доступа и инструмент "BadPotato" для повышения привилегий. Среди примечательных признаков - конкретные схемы атак и IP-адреса, связанные с операциями, что указывает на причастность китайскоязычных хакеров.
-----

19 июля 2025 года корпорация Майкрософт сообщила, что уязвимости, идентифицированные как CVE-2025-53770 и CVE-2025-53771, а также более ранние варианты CVE-2025-49704 и CVE-2025-49706, активно использовались на локальных серверах SharePoint, что получило название "ToolShell". Самые ранние попытки использовать эти уязвимости были зафиксированы 7 июля 2025 года. Успешная эксплуатация позволяет злоумышленникам выполнять удаленное выполнение кода (RCE) на уязвимых серверах SharePoint без проверки подлинности, предоставляя им доступ к конфиденциальному внутреннему контенту, конфигурациям и возможность развертывания веб-оболочек для дальнейших действий по эксплуатации, включая разведку сети и горизонтальное перемещение.

Анализ телеметрии выявил последовательную схему использования, характеризующуюся отправкой запроса POST на конечную точку "/_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx" с информацией о ссылке, указывающей на внутреннюю страницу выхода из системы. Примечательно, что идентифицированные IP-адреса, служившие источниками этих атак, включали в себя 75.83.18.243 и 185.141.119.189. Среди инструментов, используемых злоумышленниками, - Godzilla webshell, который обладает функциями, предназначенными для загрузки файлов и базового поиска информации, а также загрузчиком, содержащим идентифицируемые жестко закодированные строки. Есть признаки того, что эта веб-оболочка обеспечивает постоянный доступ к скомпрометированным серверам путем кражи ASP.NET машинных ключей, несмотря на применение исправлений.

Хакер использовал "BadPotato" для повышения привилегий в рамках рабочего процесса IIS, впоследствии создав новую учетную запись локального администратора и установив сеанс протокола удаленного рабочего стола (RDP) на устройстве жертвы, что предполагало настройку обратного туннеля с использованием быстрого обратного прокси (FRP). Во время этого сеанса RDP был запущен двоичный файл с именем "sysdiag-all-x64-6.0.7.2-2025.07.21.1.exe", программа установки, связанная с решением Huorong security solution. Эта программа установки содержит инструменты, такие как HRSword, которые, как известно, ослабляют или обходят меры безопасности конечных точек. В предыдущих примерах аналогичного использования локальных серверов SharePoint также использовались решения Huorong для обеспечения безопасности.

Более того, методология использования, продемонстрированная хакерами, включала запуск "rundll32.exe" для внедрения шеллкода в процессы через рабочий процесс IIS, тем самым загружая конфигурацию FRP. Всестороннее использование уникальных методов и сигнатур вредоносного ПО позволяет предположить причастность хакеров, говорящих на китайском языке, хотя конкретная причина остается неясной.

В ответ на эти выводы WithSecure предприняла активные меры по привлечению различных заинтересованных сторон, включая государственные сертификаты и отраслевых партнеров. Они сообщили, что их решения для обеспечения безопасности уже блокировали попытки злоумышленников до начала кампании по использованию.