#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания SarangTrap нацелена на пользователей Android и iOS с помощью более чем 250 вредоносных приложений и фишинговых доменов, имитирующих платформы знакомств. Вредоносная программа извлекает конфиденциальные данные, используя тактику задержки запросов на разрешение для обхода мер безопасности, особенно за счет отсутствия разрешений на отправку SMS в последней версии. Кампания использует эмоциональные манипуляции, создавая значительные риски для ничего не подозревающих пользователей.
-----

Недавний анализ, проведенный zLabs, выявил масштабную скоординированную кампанию вредоносного ПО, известную как SarangTrap, нацеленную на мобильных пользователей как на устройствах Android, так и на iOS. Операция включает в себя поразительно масштабное развертывание более 250 вредоносных приложений для Android и более 80 скомпрометированных доменов, маскирующихся под законные платформы знакомств и социальных сетей. Злоумышленники используют методы фишинга, чтобы обманом заставить пользователей загружать эти вредоносные приложения, которые предназначены для утечки конфиденциальной личной информации, такой как списки контактов и личные изображения.

При распространении вредоносного ПО используются тщательно разработанные фишинговые домены, которые напоминают известные бренды и магазины приложений. После установки пользователям предлагается ввести действительный код приглашения, который отправляется на сервер управления (C2) злоумышленника для проверки. Этот процесс является частью сложной стратегии, которая задерживает запросы на получение разрешений для конфиденциальных данных, включая доступ к SMS и контактам, до тех пор, пока пользователь не подключится, что помогает избежать обнаружения с помощью системы безопасности, которые обычно связаны с первоначальным поведением приложения.

Помимо устройств на базе Android, пользователи iOS также подвергаются риску. Злоумышленники используют мошеннический профиль конфигурации мобильных устройств, который после установки предоставляет им возможность доступа к конфиденциальным пользовательским данным, включая контакты и фотографии. Такой кроссплатформенный подход расширяет охват вредоносного ПО и его потенциальное воздействие.

Примечательно, что последние образцы SarangTrap отражают изменение тактики, поскольку вредоносная программа больше не объявляет разрешения, связанные с SMS, в своем файле манифеста, несмотря на то, что в ее коде сохранена возможность фильтрации SMS. Текущая версия запрашивает только несколько специальных разрешений — доступ к контактам, внешнему хранилищу и общей информации об устройстве — и полностью исключает SMS-разрешения. Это изменение указывает на продолжающуюся разработку хакерами, которые совершенствуют свою стратегию обхода мер безопасности, сохраняя при этом основные функциональные возможности, связанные со шпионскими программами.

Широкомасштабный и изощренный характер этой кампании подчеркивается выявлением 88 уникальных доменов, распространяющих вредоносное ПО, из которых более 70 активно функционируют как фишинговые сайты. Кампания получила широкую известность, поскольку многие из этих доменов эффективно ранжировались в результатах поиска Google по наиболее распространенным запросам, связанным со знакомствами, что побуждало ничего не подозревающих пользователей загружать вредоносные приложения под видом законных сервисов. Жертвы часто оказываются втянутыми в установку вредоносного ПО только для того, чтобы стать объектами эмоционального вымогательства и манипуляций.

Меняющаяся тактика злоумышленников в сочетании с применяемыми психологическими манипуляциями делает эту операцию особенно опасной. Стратегия эффективно использует доверие и эмоциональную уязвимость, что еще больше усложняет усилия по защите пользователей от подобных угроз. Поскольку кампания продолжает адаптироваться, постоянная бдительность и надежные защитные меры имеют решающее значение для снижения рисков, связанных с вредоносным ПО SarangTrap.

#ParsedReport #CompletenessLow
31-07-2025

Microsoft OAuth App Impersonation Campaign Leads to MFA Phishing

https://www.proofpoint.com/us/blog/threat-insight/microsoft-oauth-app-impersonation-campaign-leads-mfa-phishing

Report completeness: Low

Actors/Campaigns:
Saad_tycoon

Threats:
Aitm_technique
Tycoon_framework
Clickfix_technique
Antibot

Victims:
Ringcentral, Sharepoint, Adobe, Docusign, Ilsmart, Aviation firm, Aerospace and defense companies, Microsoft 365 users, Enterprise accounts

Industry:
Aerospace

Geo:
Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1114.002, T1136.003, T1204.002, T1556.003, T1557.002, T1566.002

IOCs:
Domain: 4
Url: 7

Soft:
SendGrid

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные приложения Microsoft OAuth, появляющиеся с начала 2025 года, способствуют фишинговым атакам на учетные записи Microsoft 365 с использованием фишингового набора Tycoon. В этих кампаниях используются такие методы, как AI-in-the-Middle, для сбора учетных данных и токенов MFA с помощью поддельных приложений, выдающих себя за такие сервисы, как Adobe и RingCentral, что повышает потребность в надежных мерах безопасности против развивающихся угроз.
-----

Компания Proofpoint выявила значительную тенденцию, связанную с вредоносными приложениями Microsoft OAuth, которые способствуют фишинговым атакам с использованием учетных данных, нацеленным на учетные записи Microsoft 365. Эти кампании, начавшиеся в начале 2025 года, характеризуются созданием поддельных приложений OAuth, которые выдают себя за законные платформы, такие как RingCentral, SharePoint, Adobe и DocuSign. Основной целью этих фишинговых кампаний является получение учетных данных пользователей, особенно с помощью методов многофакторной аутентификации (MFA), в основном с использованием фишингового набора Tycoon.

Один примечательный случай произошел в марте 2025 года, когда фишинговое электронное письмо было отправлено со ссылкой на небольшую авиационную компанию, базирующуюся в США, с использованием темы запроса ценовых предложений (RFQ), имитирующей ILSMart, сервис инвентаризации для аэрокосмического и оборонного секторов. Вредоносная страница, предназначенная для перехвата учетных данных, работала с помощью механизма ретрансляции, который собирал как учетные данные пользователя, так и токены 2FA с помощью метода AiTM (attacker-in-the-middle). В июне 2025 года другая кампания выдала себя за Adobe, используя уникальный поток перенаправлений через URL-адреса SendGrid, ведущие к поддельным страницам аутентификации Microsoft, которые аналогичным образом были направлены на сбор учетных данных и токенов 2FA с помощью Tycoon.

Анализ, проведенный Proofpoint, показал, что было выявлено более двух десятков вредоносных приложений со схожими характеристиками, которые использовали безопасные области OAuth, маскируясь под законные приложения. Большинство из этих вредоносных действий состояли в том, что пользователи обманом вводили учетные данные на фишинговых страницах, которые были неотличимы от законных интерфейсов Microsoft. Приложения, как правило, имели минимальные разрешения, которые сами по себе не могут скомпрометировать учетные записи без участия пользователя, что указывает на относительно низкий уровень успеха при захвате учетных записей.

Использование фишингового набора Tycoon отражает более широкую тенденцию к компрометации корпоративных учетных записей. Tycoon работает как платформа "фишинг как услуга", которая позволяет хакерам перехватывать основные учетные данные и токены сеанса во время сбора учетных данных, эффективно обходя защиту MFA. Кроме того, изменения в операционной инфраструктуре указывают на попытку хакеров избежать обнаружения; наблюдался переход от российских прокси-сервисов к размещению в дата-центрах в США, что свидетельствует об усилении маскировки после более тщательного изучения предыдущей тактики.

Меняющийся ландшафт угроз подчеркивает необходимость принятия более эффективных мер безопасности. Proofpoint подчеркивает важность усиления защиты электронной почты для предотвращения попыток фишинга, внедрения системы облачной безопасности vigilant для обнаружения перехватов учетных записей, изоляции потенциально вредоносных веб-сессий и информирования пользователей об этих рисках. Надвигающийся рост числа случаев фишинга учетных данных AiTM в качестве распространенного метода киберпреступной деятельности указывает на то, что организации должны оставаться активными в своей защите от все более изощренных цепочек атак, нацеленных на идентификацию пользователей и доступ к ним.

#ParsedReport #CompletenessMedium
31-07-2025

Reverse engineering a Lumma infection

https://labs.withsecure.com/publications/reverse-engineering-a-lumma-infection

Report completeness: Medium

Threats:
Lumma_stealer
Amadey
Process_injection_technique
Heavens_gate_technique
Lolbin_technique
Clickfix_technique

Geo:
Japan, Russian

TTPs:

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055.002, T1071.001, T1078, T1105, T1140, T1204.002, T1497.001, T1555, have more...

IOCs:
File: 17
Coin: 2
Domain: 2
Path: 1

Soft:
Telegram, Steam, DiscordCanary, DiscordPTB, curl

Algorithms:
sha256, chacha20, xor, base64

Functions:
Main, Finder, LookupPointer, eval, CallWindowsProcA

Win API:
VirtualProtect, CallWindowProcA, GetProcAddress, LoadLibraryA, LoadLibraryW, LoadLibrary, CreateProcessW, VirtualAlloc, GetThreadContext, ReadProcessMemory, have more...

Languages:
python, powershell, dotnet

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, windows: 11, table: 2, code: 32, dump: 62, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma - это передовая вредоносная программа-похититель информации на C++, известная своими сложными методами уклонения от обнаружения, включая сглаживание потока управления и динамическое удаленное внедрение процессов. Она нацелена на конфиденциальные пользовательские данные и использует надежную адаптивную инфраструктуру с зашифрованными коммуникациями C2. Несмотря на недавние сбои, есть опасения, что это может привести к повторному появлению аналогичных вредоносных программ.
-----

Lumma - это продвинутая вредоносная программа для кражи информации, написанная на C++, которая за последние пару лет стала все более распространенной и изощренной. История разработки Lumma, за которой команда WithSecure Detection and Response впервые наблюдала во время отбора образцов с открытым исходным кодом, началась в декабре 2022 года. Она работает на различных уровнях обслуживания и, как правило, распространяется по каналам Telegram. Вредоносная программа требует упаковки для достижения состояния полной необнаруживаемости (FUD), что указывает на то, что разработчик уделяет значительное внимание полезной нагрузке, передавая создание загрузчика на аутсорсинг.

Инфраструктура, связанная с Lumma, столкнулась с перебоями, в частности, из-за действий международных правоохранительных органов, которые захватили ее панель управления. Microsoft сообщила о значительном количестве заражений, выявив более 394 000 взломанных систем Windows по всему миру в течение определенного периода времени. Несмотря на сбои в работе инфраструктуры Lumma, аналитики ожидают, что либо вредоносное ПО всплывет вновь, либо хакеры могут применить аналогичные методы в новых версиях.

С технической точки зрения, Lumma демонстрирует множество сложных моделей поведения, характерных для современных вредоносных программ. В ней используется сглаживание потока управления для снижения функциональности, что затрудняет анализ решений по обеспечению безопасности. В своем жизненном цикле Lumma использует механизм загрузки, который выполняется с использованием прямого доступа к памяти, включая вызовы для чтения и управления памятью процессов (например, `ReadProcessMemory`, `VirtualAllocEx` и `WriteProcessMemory`). Примечательно, что вредоносная программа имеет механизм, позволяющий определить, запускается ли она в распакованном виде — выполнение, которое запускает предупреждающий запрос, — гарантируя при этом, что упакованная форма остается необнаруженной.

Возможности Lumma по краже информации распространяются на множество конфиденциальных пользовательских данных, потенциально включая учетные данные и данные браузера. Он подключается к различным областям управления (C2), которые циклически меняются в ходе его рабочего цикла, что указывает на надежную инфраструктуру, способную использовать адаптивные стратегии для обеспечения скрытности. Расшифровка доменов C2 выполняется с использованием алгоритма ChaCha20, который демонстрирует дополнительную техническую сложность.

Вредоносная программа умеет осуществлять удаленное внедрение в процесс, которое включает в себя изменение состояния выделенной области памяти в целевом процессе. Этот метод позволяет ей динамически внедрять свою полезную нагрузку — подход, обычно используемый злоумышленниками. Поток событий завершается получением ответа от сервера C2 после выполнения POST-запроса, что позволяет обновлять конфигурацию и осуществлять фильтрацию данных.

Современные рекомендации по обеспечению безопасности от таких угроз, как Lumma, основаны на обучении пользователей распознавать попытки фишинга, мониторинге информации об угрозах (TI) на предмет наличия индикаторов компрометации (IOCs) и внедрении строгих мер контроля доступа и многофакторной аутентификации (MFA). Организациям рекомендуется блокировать сетевой трафик на подозрительные доменные расширения и рассмотреть возможность использования менеджеров паролей для надежной защиты конфиденциальных учетных данных в автономном режиме до тех пор, пока это не потребуется.

#ParsedReport #CompletenessLow
31-07-2025

Pixels of Deception: How VMDetector Loader Hides in Plain Sight

https://www.sonicwall.com/blog/pixels-of-deception-how-vmdetector-loader-hides-in-plain-sight

Report completeness: Low

Threats:
Vmdetector
Formbook
Cloaking_technique

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1036, T1059.001, T1059.005, T1105, T1140, T1204.002, T1566.001

IOCs:
File: 5
Hash: 5
Url: 3

Algorithms:
base64, sha256, zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В фишинговой кампании один из вариантов загрузчика VMDetector скрыт в пиксельных данных файла JPEG. Он использует VBScript для загрузки и выполнения команды PowerShell в кодировке Base64, что в конечном итоге приводит к развертыванию FormBook infostealer. Здесь демонстрируются сложные методы обфускации, позволяющие избежать обнаружения.
-----

Команда исследователей угроз SonicWall Capture Labs обнаружила новую технологию сокрытия, использующую вариант загрузчика VMDetector, который скрывается в пиксельных данных файла JPEG, выглядящего безобидно. Этот хакер появился в результате фишинговой кампании, которая использует сжатые архивы для доставки своей полезной информации. Первоначальное выполнение начинается с файла VBScript с именем "RFQ_1000007012.VBS", который выглядит законным, поскольку использует код из репозитория DocGenerator.vbs на GitHub с открытым исходным кодом. Однако вредоносный контент незаметно встроен в конец скрипта, замаскированный нежелательными символами, чтобы избежать обнаружения сигнатуры. Основная функция скрипта - загрузить дополнительный VBScript с URL-адреса past.ee, выполнив его с помощью функции ExecuteGlobal, маскируясь пользовательской строкой user agent.

Последующий VBScript еще больше закрепляет эту уловку, помещая запутанную полезную нагрузку между двумя, казалось бы, законными файлами сценариев, Configurer.vbs и VBSApp.vbs, оба взяты из одного и того же проекта на GitHub. Такая схема маскирует истинные злонамеренные намерения — после деобфускации скрипт выполняет команду PowerShell в кодировке Base64, которая играет ключевую роль в развитии атаки.

Этот расшифрованный скрипт PowerShell загружает то, что кажется безобидным JPEG-файлом, из archive.org. Однако JPEG - это внешний вид; хотя верхняя часть является подлинным изображением, в нижней части находится загрузчик VMDetector, скрытно встроенный в пиксельные данные растрового изображения. Скрипт сканирует определенную последовательность байт, обозначающую заголовок растрового изображения, что позволяет ему извлекать скрытую вредоносную программу, как если бы он извлекал скрытое сообщение.

После извлечения загрузчик VMDetector организует развертывание конечной полезной нагрузки, идентифицированной как FormBook, печально известного инфокрада, известного своими возможностями кражи данных и шпионажа. Эта цепочка доставки является примером современных методов атаки, которые используют многоуровневую маскировку, чтобы избежать обнаружения при развертывании сложного вредоносного ПО. В подобных кампаниях могут использоваться дополнительные средства, демонстрирующие универсальный подход хакеров.

#ParsedReport #CompletenessHigh
31-07-2025

The Covert Operator's Playbook: Infiltration of Global Telecom Networks

https://unit42.paloaltonetworks.com/infiltration-of-global-telecom-networks/

Report completeness: High

Actors/Campaigns:
Liminal_panda
Gallium
Lightbasin
Unc3886
Red_delta
Slow_tempest
Ghostemperor
Unc5174
Unc4841
Earth_lusca

Threats:
Pingpull
Authdoor
Cordscan
Gtpdoor
Echobackdoor
Chronosrat
Nodepdns
Fscan_tool
Microsocks_tool
Proxychains_tool
Slapstick
Pingpong
Dns_tunneling_technique
Dirty_cow_vuln
Pkexec_tool
Pwnkit_tool
Mitm_technique

Victims:
Telecommunications operators, Telecommunications vendors

Industry:
Telco

Geo:
Asia

CVEs:
CVE-2021-3156 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sudo_project sudo (<1.8.32, <1.9.5)

CVE-2016-5195 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- canonical ubuntu_linux (12.04, 14.04, 16.04, 16.10)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)


TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 24
File: 3

Soft:
SELinux, Linux, Unix, sudo, sshpass

Algorithms:
aes, xor, sha256, base64

Win API:
NetBIOS

Languages:
golang, python

Links:
https://github.com/firefart/dirtycow/blob/master/dirty.c#L47
have more...
https://github.com/miekg/dns/
https://github.com/ly4k/PwnKit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа CL-STA-0969 атакует телекоммуникационные сети в Юго-Западной Азии, используя уязвимости мобильных сетей с помощью атак с использованием грубой силы и пользовательских инструментов, таких как AuthDoor для постоянного доступа. Они используют передовые методы обхода, включая уязвимости с повышением привилегий (CVE-2016-5195, CVE-2021-4034, CVE-2021-3156), и скрывают вредоносные процессы для обеспечения скрытности операций. Их деятельность подчеркивает необходимость повышения безопасности телекоммуникационной инфраструктуры.
-----

Подразделение 42 выявило группу хакеров CL-STA-0969, которая в период с февраля по ноябрь 2024 года атаковала телекоммуникационный сектор Юго-Западной Азии. Группа использует уязвимости во взаимосвязанных сетях мобильного роуминга. Хакеры практикуют передовые методы обеспечения операционной безопасности и используют методы защитного обхода без явных доказательств утечки данных или отслеживания устройств. Первоначальные взломы, вероятно, были связаны с атаками методом "грубой силы" на механизмы аутентификации. Они используют пользовательские инструменты, которые используют такие протоколы, как SSH, ICMP, DNS и GTP, для поддержания доступа и создания скрытых каналов управления (C2).

Один из инструментов, AuthDoor, является бэкдором, реализованным в системе PAM путем перезаписи файла pam_unix.so, что позволяет осуществлять постоянный доступ с помощью жестко заданного волшебного пароля. Другой инструмент, Cordscan, предназначен для узлов доставки пакетных данных для сбора данных о местоположении. GTPDoor обеспечивает связь C2 по туннельному протоколу GPRS.

Группа использует хорошо известные уязвимости для повышения привилегий, включая CVE-2016-5195 (DirtyCOW), CVE-2021-4034 (PwnKit) и CVE-2021-3156 (Sudo), демонстрируя адаптируемые стратегии использования. Они создают обратные SSH-туннели и проводят санитарную обработку журналов, чтобы скрыть свою деятельность.

Вредоносные процессы маскируются под законными именами, а Linux (SELinux) с улучшенной системой безопасности отключен, чтобы избежать ведения журнала безопасности. Используемые инструменты включают FScan для сканирования сети и Responder для сбора учетных данных. Они демонстрируют глубокое понимание динамики сети с использованием серверов SOCKS5 и прокси-цепей. Тактика группы отражает продуманную стратегию постоянного доступа, подчеркивающую необходимость усиления безопасности в затронутых телекоммуникационных инфраструктурах.

#ParsedReport #CompletenessLow
31-07-2025

BadSuccessor

https://ipurple.team/2025/07/28/badsuccessor/

Report completeness: Low

Threats:
Badsuccessor_technique
Credential_harvesting_technique
Kerberoasting_technique
Logan
Sharpsuccessor
Rubeus_tool

TTPs:

ChatGPT TTPs:
do not use without manual check
T1078.002, T1098.002, T1136.002, T1550.003

IOCs:
File: 2

Soft:
Active Directory, Panos

Languages:
dotnet

SIGMA: Found

Links:
have more...
https://github.com/logangoins/SharpSuccessor/
https://github.com/GhostPack/Rubeus

#ParsedReport #ExtractedSchema

Classified images:
windows: 8, schema: 1, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Функция делегированной управляемой учетной записи службы Windows Server 2025 (dMSA) может быть использована с помощью метода, называемого "badSuccessor", который позволяет перемещаться по домену без проверки Kerberos. Злоумышленники могут повысить свои привилегии, изменив атрибуты dMSA для подключения к привилегированным учетным записям, что может привести к потенциальной компрометации домена. Инструмент проверки концепции SharpSuccessor позволяет использовать это, подчеркивая необходимость усовершенствованных стратегий ведения журнала и обнаружения таких угроз.
-----

В Windows Server 2025 от Microsoft появилась важная функция, предназначенная для предотвращения атак на сбор учетных данных, особенно тех, которые связаны с использованием Kerberoasting и утечкой учетных данных. Эта функция вводит делегированную управляемую учетную запись службы (dMSA), которая позволяет администраторам переносить стандартные учетные записи служб в учетные записи компьютеров с управляемыми, рандомизированными ключами. Хотя это упрощает управление паролями для учетных записей служб, это также создает новые возможности для злоупотреблений. Согласно Akamai, разрешения пользователя могут быть воспроизведены в сертификате атрибута привилегий (PAC) учетной записи dMSA без прохождения проверки Kerberos, которая может быть использована хакерами.

Компания Akamai выявила метод, получивший название "badSuccessor", который позволяет злоумышленникам использовать функцию dMSA для перемещения по домену. В этом сценарии предполагается, что первоначальный доступ был получен через взломанную учетную запись, обладающую разрешением "Создать все дочерние объекты". Впоследствии злоумышленник создает произвольный dMSA и изменяет атрибуты, в частности msDS-ManagedAccountPrecededByLink и msDS-DelegatedMSAState, чтобы связать его с привилегированной учетной записью (например, администратором домена) и имитировать завершенный процесс миграции.

Как только dMSA будет настроена, хакер сможет получить разрешение на использование Kerberos (TGT) для текущей учетной записи. С помощью этого запроса они могут запрашивать сервисные запросы (TGS) для различных служб в домене, включая ресурсы, относящиеся к Общей файловой системе Интернета (CIFS) контроллера домена. Такой доступ позволяет потенциально скомпрометировать сам домен.

Логан Гоинс (Logan Goins) выпустил инструмент для проверки концепции под названием SharpSuccessor, написанный на .NET, который эмулирует технологию badSuccessor. Этот инструмент создает новый объект dMSA в организационном подразделении, где пользователь имеет права на запись, и изменяет связанные атрибуты для имитации повышения привилегий. Выполнение определенных команд позволяет инструменту установить необходимые атрибуты для вредоносного dMSA, в том числе привязать его к привилегированной учетной записи администратора.

Чтобы упростить работу с Kerberos, этот инструмент использует Rubeus для взаимодействия со службами аутентификации в среде Windows. Однако существуют меры безопасности, поскольку системы обнаружения и реагирования конечных точек (EDR) могут указывать на использование SharpSuccessor и Rubeus, что делает обнаружение важной частью усилий по устранению неполадок. Стратегии обнаружения должны включать идентификаторы событий, такие как 5136 и 5137, для выявления потенциальных модификаций или признаков компрометации, связанных с технологией badSuccessor. Организациям следует включить расширенное ведение журнала, чтобы обеспечить учет специфики этого вектора атаки при разработке предупреждений, которые могут срабатывать после завершения трех основных этапов: создания учетной записи dMSA, изменения атрибутов и запросов на аутентификацию для заявок на обслуживание. Внедрение правил SIGMA может помочь инженерам по обнаружению в формулировании запросов для эффективного поиска угроз и мониторинга.

#ParsedReport #CompletenessLow
31-07-2025

Anubis and the Death of Data: A New Era of Ransomware Operations

https://www.bitsight.com/blog/anubis-ransomware-group-overview-and-evolution

Report completeness: Low

Threats:
Anubis
Shadow_copies_delete_technique

Victims:
Healthcare provider in victoria, Healthcare organization in canada, Organizations in healthcare, Organizations in construction, Organizations in professional services

Industry:
Education, Financial, Critical_infrastructure, Healthcare

Geo:
France, Peru, Australian, Russian, Australia, Canada

TTPs:
Tactics: 2
Technics: 8

Soft:
Twitter, android