#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый сайт доставки вредоносного ПО, связанный с программой-вымогателем Epsilon Red, использует социальную инженерию и ActiveXObject для удаленного выполнения кода, что позволяет загружать полезные данные. хакеры выдают себя за популярные сервисы и используют знакомые темы, чтобы снизить подозрения пользователей, в то время как программы-вымогатели могут быстро шифровать данные после перемещения по сети.
-----

Компания CloudSEK TRIAD обнаружила развивающийся сайт доставки вредоносных программ, тематически связанный с "Clickfix", который связан с программой-вымогателем Epsilon Red. Этот вариант отличается от предыдущих тем, что жертвам предлагается перейти на дополнительную страницу, где вредоносные команды оболочки выполняются через ActiveX, что позволяет злоумышленникам незаметно загружать и активировать полезные файлы с контролируемого злоумышленником IP-адреса. Кампания использует методы социальной инженерии, включая вводящие в заблуждение коды подтверждения, чтобы скрыть свои злонамеренные намерения.

Исследование инфраструктуры, стоящей за этим вредоносным ПО, показало, что хакеры выдают себя за различные сервисы, такие как бот для проверки капчи Discord, и популярные потоковые платформы, такие как Kick, Twitch и OnlyFans. Эта тактика подкрепляется использованием страниц-приманок на романтическую тематику, что указывает на более широкую стратегию привлечения пользователей с помощью знакомых и, казалось бы, безобидных интерфейсов. Включение незначительных типографских ошибок, таких как "Подтверждение", может быть намеренной уловкой, чтобы казаться менее угрожающим и более дилетантским, тем самым уменьшая подозрения.

Программа-вымогатель Epsilon Red была впервые отслежена в 2021 году и содержит уведомление о требовании выкупа, напоминающее печально известную программу-вымогатель REvil, хотя в других эксплуатационных аспектах или инфраструктуре она существенно не похожа. Примечательно, что внедрение программы-вымогателя может привести к масштабному шифрованию данных, как правило, в результате горизонтального перемещения по скомпрометированным сетям.

Одним из важнейших направлений атаки является злоупотребление ActiveXObject, которое облегчает удаленное выполнение кода непосредственно в сеансах браузера, минуя обычные механизмы защиты от загрузки. Эта возможность представляет значительный риск, поскольку позволяет внедрять программы-вымогатели без явного согласия пользователя. Более того, постоянное повторное использование тематических страниц рассылки в различных кампаниях демонстрирует стратегический и последовательный подход к кибероперациям, подчеркивая долгосрочные инвестиции хакеров в свою инфраструктуру.

#ParsedReport #CompletenessLow
27-07-2025

In-Depth Analysis of an Obfuscated Web Shell Script

https://www.fortinet.com/blog/threat-research/in-depth-analysis-of-an-obfuscated-web-shell-script

Report completeness: Low

Victims:
Critical national infrastructure

Geo:
Middle east

ChatGPT TTPs:
do not use without manual check
T1005, T1083, T1505.003

IOCs:
File: 4
Hash: 1

Algorithms:
sha256, base64

Functions:
GetBasicServerInfo, GetBasicServerApplicationInfo, GetDrives, GetDriveInformation, GetWebRoot, GetFileSystemsList, DeleteDirectory, GetDirectoryInformation, SetDirectoryTime, SetDirectoryAttributes, have more...

Win API:
CreateDirectory, CopyFile, MoveFile, DeleteFile, SetFileTime

Languages:
python, c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибератака на Ближнем Востоке была нацелена на критически важную национальную инфраструктуру с использованием файлов ASPX и C# в среде Windows IIS, используя уязвимости для несанкционированного доступа. Скрипт на Python имитировал взаимодействие с веб-оболочкой, демонстрируя выполнение команд для файловых операций, подчеркивая риски безопасности и необходимость усиления защиты от такой тактики.
-----

Последующее расследование посвящено кибератаке, нацеленной на критически важную национальную инфраструктуру (CNI) на Ближнем Востоке, и раскрывает технические подробности о методах, используемых злоумышленниками. В частности, основное внимание уделяется файлу ASPX, который указывает на выполнение на стороне сервера, подтверждая использование языка программирования C# в среде Windows IIS (Internet Information Services). Серверный характер этой технологии подразумевает, что уязвимости могут быть использованы для получения несанкционированного доступа или манипулирования инфраструктурой.

В отчете также подробно описывается разработка скрипта на Python, предназначенного для имитации взаимодействия злоумышленника с веб-оболочкой, развернутой на скомпрометированных серверах. Этот скрипт служил для имитации выполнения команд, позволяя аналитикам наблюдать за функциональными возможностями веб-оболочки. С помощью этого моделирования были продемонстрированы различные взаимодействия команд, относящиеся к операциям с файлами и каталогами, демонстрирующие такие возможности, как манипулирование содержимым и поиск данных. Выходные данные скрипта подчеркивают связь между злоумышленником и веб-оболочкой, поскольку как вводимые команды, так и результирующие выходные данные отображались в виде открытого текста, что давало представление о характере взаимодействия команд.

Этот анализ раскрывает обширный потенциал web shell как инструмента для атакующих, подчеркивая необходимость усиления мер безопасности в средах, использующих аналогичные технологии. Учитывая контекст атаки на критически важные национальные инфраструктуры, такие уязвимости представляют значительный риск, что подчеркивает важность мониторинга и защиты от таких хакеров. Поскольку злоумышленники все чаще используют серверные технологии и инструменты, такие как web shell, организации должны уделять приоритетное внимание пониманию этих тактик, чтобы лучше защитить свои системы.

#ParsedReport #CompletenessMedium
26-07-2025

AI-Generated Malware in Panda Image Hides Persistent Linux Threat

https://www.aquasec.com/blog/ai-generated-malware-in-panda-image-hides-persistent-linux-threat/

Report completeness: Medium

Threats:
Koske
Polyglot_technique
Supply_chain_technique
Steganography_technique

Industry:
Software_development

Geo:
Serbian

ChatGPT TTPs:
do not use without manual check
T1014, T1027, T1036, T1037, T1053.003, T1071, T1090, T1190, T1204, T1496, have more...

IOCs:
IP: 1
Url: 5
Hash: 5
File: 1

Soft:
Linux, Jupyter, systemd, curl

Crypto:
monero, ravencoin

Algorithms:
md5

Functions:
readdir

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Koske нацелена на системы Linux с использованием технологий, управляемых искусственным интеллектом, с использованием модульной полезной нагрузки и обходных руткитов для криптомайнинга. Он использует неправильно сконфигурированные серверы, развертывает вредоносные файлы формата JPEG, изменяет системные конфигурации для обеспечения постоянной связи C2 и использует тактику уклонения от обнаружения, что свидетельствует об усовершенствовании вредоносного ПО.
-----

Кампания Koske malware выявляет сложную угрозу, нацеленную на системы Linux, обладающую характеристиками, которые предполагают разработку на основе искусственного интеллекта. Это вредоносное ПО использует модульную полезную нагрузку, обходные руткиты и использует для доставки файлы изображений, в основном предназначенные для операций криптодобычи. Злоумышленники обычно используют неправильно сконфигурированные серверы, такие как экземпляры JupyterLab, что позволяет им устанавливать бэкдоры и загружать изображения двойного назначения в формате JPEG, содержащие вредоносную полезную нагрузку. В этих изображениях используются технологии использования многоязычных файлов, что позволяет вредоносным компонентам избегать традиционных методов обнаружения, скрываясь в кажущихся безобидными данных изображения.

После загрузки полезной нагрузки Koske выполняет небольшие фрагменты вредоносного кода непосредственно в памяти. Одна полезная нагрузка компилирует общий объектный файл, функционирующий как руткит, в то время как другая, сценарий оболочки, сохраняет постоянство и работает скрытно. В Koske реализовано несколько продвинутых механизмов сохранения, таких как изменение конфигураций пользовательской оболочки и добавление пользовательских служб systemd, которые обеспечивают повторное выполнение и непрерывную связь по системе command-and-control (C2) даже после перезагрузки системы.

Примечательны сетевые манипуляции вредоносного ПО, которые включают сброс переменных прокси-сервера среды, сброс правил iptables и изменение настроек DNS для маршрутизации через Cloudflare и Google DNS с одновременной блокировкой этих конфигураций для предотвращения изменений. Эти действия способствуют необнаружению связи C2, демонстрируя стратегический обход защиты на уровне DNS.

Кроме того, модуль подключения Koske выполняет сложные проверки для обеспечения доступа к серверам C2, используя методы диагностики и тактику перебора прокси-серверов для выявления работающих прокси-серверов. Вредоносная программа поддерживает майнинг 18 различных криптовалют, динамически корректируя свою работу в зависимости от вычислительных возможностей хоста во время атаки.

Код Коске является примером модульности и содержит подробные структурированные комментарии, которые затрудняют поиск авторства. Возможно, дизайн был специально разработан таким образом, чтобы он выглядел универсальным, с использованием лингвистических и синтаксических искажений, которые маскируют авторство. Эта эволюция означает потенциальный сдвиг в киберпространстве, где противники используют искусственный интеллект не только в тактике действий, но и в генерации кода, что приводит к появлению вредоносного ПО, которое разумно адаптирует свое поведение.

Это свидетельствует о растущей гонке вооружений в области кибербезопасности, когда организации должны усиливать свою защиту от таких легко адаптируемых и неуловимых угроз. Вредоносная программа Koske служит важным предупреждением для будущей динамики кибербезопасности, подчеркивая важность контекстно-зависимых и поведенческих механизмов безопасности для защиты от все более изощренных атак на среды Linux.

#ParsedReport #CompletenessMedium
27-07-2025

ANDROID MALWARE POSING AS INDIAN BANK APPS

https://www.cyfirma.com/research/android-malware-posing-as-indian-bank-apps/

Report completeness: Medium

Threats:
Credential_harvesting_technique
Smishing_technique
Seo_poisoning_technique
Supply_chain_technique

Victims:
Android users, Indian banking customers

Industry:
Financial

Geo:
Indian

TTPs:
Tactics: 10
Technics: 16

IOCs:
File: 1
Hash: 2

Soft:
ANDROID, WhatsApp, Google Play

Algorithms:
sha256, exhibit

Win API:
sendMessage

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная вредоносная программа для Android имитирует индийские банковские приложения для кражи учетных данных и несанкционированных транзакций, используя модульную конструкцию для автоматической установки и злоупотребления разрешениями, чтобы избежать обнаружения. Он использует Firebase для операций C2, создает реалистичные фишинговые страницы и использует разрешения для мониторинга SMS и ведения финансового надзора, что подчеркивает необходимость повышения безопасности в мобильном банкинге.
-----

В отчете рассматривается сложная вредоносная программа для Android, которая имитирует законные банковские приложения в Индии для кражи учетных данных, финансового надзора и несанкционированных транзакций. Эта вредоносная программа использует модульную структуру, включающую в себя дроппер и основную полезную нагрузку, используя тактику обмана, такую как скрытая установка и злоупотребление правами доступа, чтобы обойти обнаружение и сохранить постоянство. Он использует Firebase для командно-контрольных операций (C2) и создает фишинговые страницы, которые очень напоминают реальные банковские интерфейсы, чтобы обмануть пользователей.

Модульная конструкция вредоносного ПО включает в себя специальные классы, отвечающие за различные вредоносные функции, такие как сбор учетных данных пользователя и данных банковской карты, обеспечение сохраняемости с помощью возможностей перезагрузки и перехват конфиденциальных SMS-данных. Основные права доступа к Android, которыми злоупотребляет вредоносная программа, включают "ACCESS_NETWORK_STATE", который позволяет ей отслеживать сетевое подключение и улучшать время фильтрации данных; "REQUEST_INSTALL_PACKAGES", позволяющий автоматически устанавливать дополнительные полезные приложения без согласия пользователя; и "QUERY_ALL_PACKAGES", который облегчает поиск, идентифицируя установленные приложения и адаптируя атаки. Кроме того, важно использовать механизм автоматической установки; он побуждает пользователя устанавливать вредоносные APK-файлы без его ведома после первоначального заражения, используя средства, которые обходят стандартные запросы на установку.

Основная полезная нагрузка также использует такие разрешения, как "SEND_SMS" и "RECEIVE_BOOT_COMPLETED", что позволяет ей отправлять данные извне и обеспечивать их перезапуск после перезагрузки устройства. Более того, он скрывает свое присутствие, изменяя категорию активности, поэтому не отображается в списках приложений пользователя, тем самым оставаясь незамеченным в фоновом режиме. Фишинговая страница, встроенная в вредоносную программу, обеспечивает проверку ввода данных пользователем аналогично настоящим банковским приложениям, гарантируя, что она фиксирует точную информацию, такую как MPIN-код и данные дебетовой карты.

Расширенные функциональные возможности также включают мониторинг входящих SMS-сообщений для выявления OTP-адресатов и использование Firebase Cloud Messaging для скрытных удаленных команд. Вредоносная программа также использует методы переадресации вызовов на номера, контролируемые злоумышленниками, что демонстрирует широкое использование услуг телефонии Android.

В отчете подчеркивается растущая тенденция к мошенничеству в сфере мобильного банкинга, о чем свидетельствует активное распространение этого конкретного APK-приложения, которое использует социальную инженерию и технические уязвимости для улучшения методов распространения. Подчеркивается необходимость принятия надежных мер безопасности в финансовых приложениях, учитывая продвинутый характер и оперативное воздействие этого вредоносного ПО. Этот ландшафт угроз характеризуется способностью злоумышленников использовать различные средства доставки, включая поддельные веб-сайты и троянские утилиты, что усложняет задачу обеспечения безопасности пользователей.

#ParsedReport #CompletenessHigh
27-07-2025

RAVEN STEALER UNMASKED: Telegram-Based Data Exfiltration.

https://www.cyfirma.com/research/raven-stealer-unmasked-telegram-based-data-exfiltration/

Report completeness: High

Actors/Campaigns:
Zerotrace

Threats:
Raven_stealer
Dll_injection_technique
Credential_harvesting_technique
Zerotrace_tool
Octalyn
Process_hollowing_technique

Industry:
Entertainment

TTPs:
Tactics: 6
Technics: 16

IOCs:
File: 7
Hash: 5

Soft:
Chromium, Telegram, Chrome, curl, Google Chrome, Microsoft Edge

Algorithms:
sha256, zip, chacha20

Win API:
Process32NextW, GetCurrentProcessId, CreateProcessW, ShowWindow, FindResourceW, LoadResource, NtAllocateVirtualMemory, NtWriteVirtualMemory, NtProtectVirtualMemory

Languages:
python, powershell, delphi

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Raven Stealer - это продвинутая модульная вредоносная программа для кражи информации, которая нацелена на браузеры на базе Chromium и позволяет извлекать конфиденциальные данные с высокой степенью скрытности. Она использует методы внедрения в память и извлекает украденные данные через Telegram API. Связанная с командой ZeroTrace, она отражает растущую тенденцию к появлению легко развертываемых угроз, которые повышают эффективность операций по краже учетных данных.
-----

Raven Stealer - это вредоносная программа для кражи информации, созданная с использованием Delphi и C++. Она нацелена на браузеры на базе Chromium, такие как Chrome и Edge, для извлечения паролей, файлов cookie и платежных реквизитов. Вредоносная программа имеет модульную архитектуру с редактором ресурсов для встраивания деталей конфигурации, таких как токены Telegram-бота. Двоичные файлы упакованы с расширением UPX, что делает их меньше по размеру и менее заметными. Программа выполняется в скрытом состоянии, чтобы избежать обнаружения пользователем. Распространение происходит через репозитории GitHub и Telegram-канал ZeroTrace. Raven Stealer использует методы обработки данных в памяти, такие как прямой системный вызов, для обхода таких средств защиты, как шифрование, связанное с приложениями в Chromium. Он перечисляет учетные данные из браузеров, игровых платформ и криптовалютных кошельков, упорядочивая украденные данные в каталоге AppData пользователя. Утечка данных осуществляется с помощью Telegram API. Вредоносное ПО разработано командой ZeroTrace, которая предлагает множество вариантов, включая Octalyn Stealer. Эта тенденция свидетельствует о росте числа модульных, легко развертываемых средств для кражи информации, которые снижают барьер для новых хакеров.

#ParsedReport #CompletenessLow
27-07-2025

ToolShell: An all-you-can-eat buffet for threat actors

https://www.welivesecurity.com/en/eset-research/toolshell-an-all-you-can-eat-buffet-for-threat-actors/

Report completeness: Low

Actors/Campaigns:
Emissary_panda (motivation: cyber_espionage)

Threats:
Toolshell_vuln

Victims:
Governments, Telecommunications companies, International organizations, High-value government organizations

Industry:
Telco, Government

Geo:
Germany, Ukraine, Vietnam, China, Italy

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


TTPs:
Tactics: 4
Technics: 4

IOCs:
File: 7
IP: 19

Soft:
SharePoint Server, Microsoft SharePoint, Outlook, SharePoint Server ASP.NET, icrosoft SharePoint se

Links:
https://github.com/eset/malware-ioc/tree/master/toolshell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование ESET выявило критические уязвимости нулевого дня в Microsoft SharePoint Server, эксплуатируемые с 19 июля 2025 года, позволяющие злоумышленникам проникать в системы и красть информацию. Уязвимости (CVE-2025-53770 и CVE-2025-53771) затрагивают локальные версии SharePoint и облегчают атаки в обход MFA/SSO, развертывая веб-оболочки, такие как spinstall0.aspx. Ландшафт угроз включает в себя множество хакеров, в частности группу LuckyMouse, что вызывает опасения по поводу продолжающейся эксплуатации.
-----

Компания ESET Research выявила критические уязвимости нулевого дня в Microsoft SharePoint Server, в совокупности именуемые ToolShell, которые, как было подтверждено корпорацией Майкрософт, активно использовались с 19 июля 2025 года. Уязвимости обозначены как CVE-2025-53770, уязвимость для удаленного выполнения кода, и CVE-2025-53771, уязвимость для подмены сервера. Эти уязвимости, в частности, затрагивают локальные версии SharePoint, включая SharePoint Subscription Edition, SharePoint 2019 и SharePoint 2016, в то время как SharePoint Online в Microsoft 365 остается незатронутым. Использование этих уязвимостей позволяет хакерам проникать в конфиденциальные системы, что может привести к потенциальной краже жизненно важной информации.

С момента своего обнаружения эти уязвимости привлекли внимание широкого круга хакеров, от отдельных киберпреступников до APT-групп, в том числе связанных с национальными государствами. Общий риск усугубляется тесной интеграцией SharePoint с другими службами Microsoft, что позволяет злоумышленникам получать широкий доступ ко всем уязвимым сетям после взлома. Было замечено, что злоумышленники объединяют эти уязвимости нулевого дня с ранее исправленными недостатками, в частности CVE-2025-49704 и CVE-2025-49706, для эффективного выполнения своих атак. Кроме того, Microsoft выпустила исправления для CVE-2025-53770 и CVE-2025-53771.

Методология атак включает в себя обход многофакторной аутентификации (MFA) и единого входа (SSO), что приводит к несанкционированному доступу, при котором злоумышленники используют вредоносные веб-оболочки. Одной из известных обнаруженных веб-оболочек является spinstall0.aspx, отслеживаемый как MSIL/Webshell.JS, который облегчает извлечение информации со взломанных серверов. Было замечено, что другие веб-оболочки ASP используют общие имена файлов, с помощью которых злоумышленники могут выполнять команды с помощью cmd.exe. Первоначальное обнаружение попыток эксплойта началось 17 июля в Германии, а успешное развертывание было отмечено 18 июля в Италии. Наиболее сильно пострадавшим регионом стали Соединенные Штаты, на долю которых приходится 13,3% зафиксированных нападений.

Угроза, связанная с эксплойтами ToolShell, также включает в себя доступ через черный ход, связанный с группой кибершпионажа LuckyMouse, которая ранее атаковала правительственные и телекоммуникационные компании. Это вызывает опасения по поводу того, были ли уязвимые системы ранее уязвимы или были взломаны исключительно из-за эксплойтов ToolShell. По мере того, как, как сообщается, попытки взлома становятся все более активными, особенно со стороны хакеров из Китая, организациям, использующим SharePoint Server, рекомендуется немедленно принять меры защиты: использовать поддерживаемые версии программного обеспечения, обеспечивать своевременное применение обновлений для системы безопасности и поддерживать надлежащую конфигурацию своих интерфейсов проверки на вредоносные программы. Обеспечение безопасности сред SharePoint имеет решающее значение, поскольку угроза продолжающегося использования продолжает угрожать.

#ParsedReport #CompletenessLow
27-07-2025

Inside The ToolShell Campaign

https://www.fortinet.com/blog/threat-research/inside-the-toolshell-campaign

Report completeness: Low

Threats:
Toolshell_vuln
Keysiphon

Victims:
Organizations

CVEs:
CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.003, T1105, T1190, T1505.003, T1546.008, T1556.001

IOCs:
File: 7
IP: 11
Hash: 4

Soft:
Microsoft SharePoint, Microsoft SharePoint Server, CURL, ASP.NET

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Цепочка эксплойтов "ToolShell" нацелена на незащищенные уязвимости в Microsoft SharePoint, облегчая удаленное выполнение кода с помощью комбинации известных эксплойтов и эксплойтов нулевого дня. Методы атаки включают веб-оболочку под названием "GhostWebShell", которая манипулирует ASP.NET внутренние компоненты для обходных действий и "KeySiphon", который компрометирует конфигурации приложений, обеспечивая несанкционированный доступ. Угроза классифицируется как критическая, и сообщается о все большем количестве реальных инцидентов.
-----

Появилась новая цепочка эксплойтов под названием "ToolShell", предназначенная специально для устранения неисправленных уязвимостей и уязвимостей нулевого дня в Microsoft SharePoint, позволяющих удаленно выполнять код. Эта цепочка объединяет две ранее исправленные уязвимости (CVE-2025-49704 и CVE-2025-49706) и две недавно обнаруженные уязвимости нулевого дня (CVE-2025-53770 и CVE-2025-53771). Степень серьезности этой угрозы классифицируется как критическая и затрагивает Microsoft SharePoint Enterprise Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition. Эти уязвимости позволяют удаленным злоумышленникам получить контроль над уязвимыми системами, что побудило Агентство по кибербезопасности и защите инфраструктуры (CISA) добавить эти уязвимости в свой список известных используемых уязвимостей.

В настоящее время FortiGuard Labs отслеживает многочисленные хакерские атаки, использующие эти уязвимости, и сообщила об увеличении числа реальных инцидентов, связанных с использованием этих серверов SharePoint. Один из известных методов взлома предполагает использование "spinstall0.aspx". Злоумышленники используют различные методы для выполнения своих полезных задач, включая использование базовых команд CURL и PowerShell для извлечения системной информации.

Среди инструментов, используемых в этих нападениях-это сложные веб ASP.NET оболочка известный как "GhostWebShell". Этот веб-Shell позволяет удаленное выполнение кода и поддерживает постоянный доступ через его дизайн, который встраивает в кодировке base64 страницы ASP.NET . При активации он использует параметр "?cmd=" для выполнения произвольных системных команд, используя возможности внутреннего отражения в ASP.NET. Он динамически манипулирует флагами BuildManager, чтобы эффективно обходить стандартные проверки при предварительной компиляции приложений, регистрируя пользовательский VirtualPathProvider, который облегчает его работу без использования файлов. Этот метод позволяет командной оболочке внедрять вредоносный код из памяти или нестандартных мест, что делает его очень обходным и устойчивым инструментом для последующей эксплуатации злоумышленниками.

Кроме того, другой инструмент под названием KeySiphon расширяет возможности злоумышленника, динамически загружая сборку "System.Web" во время выполнения. Он получает доступ к критически важным конфигурациям приложений, которые предоставляют ключи проверки и дешифрования, а также используемые криптографические режимы. Эта возможность позволяет злоумышленникам подделывать токены аутентификации, манипулировать MAC-адресами ViewState, что может привести к несанкционированному доступу к данным, и расшифровывать конфиденциальную информацию в домене приложения. В целом, эти разработки свидетельствуют о растущей сложности методов атаки, нацеленных на уязвимости в системах SharePoint.