#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные приложения Microsoft OAuth, появляющиеся с начала 2025 года, способствуют фишинговым атакам на учетные записи Microsoft 365 с использованием фишингового набора Tycoon. В этих кампаниях используются такие методы, как AI-in-the-Middle, для сбора учетных данных и токенов MFA с помощью поддельных приложений, выдающих себя за такие сервисы, как Adobe и RingCentral, что повышает потребность в надежных мерах безопасности против развивающихся угроз.
-----

Компания Proofpoint выявила значительную тенденцию, связанную с вредоносными приложениями Microsoft OAuth, которые способствуют фишинговым атакам с использованием учетных данных, нацеленным на учетные записи Microsoft 365. Эти кампании, начавшиеся в начале 2025 года, характеризуются созданием поддельных приложений OAuth, которые выдают себя за законные платформы, такие как RingCentral, SharePoint, Adobe и DocuSign. Основной целью этих фишинговых кампаний является получение учетных данных пользователей, особенно с помощью методов многофакторной аутентификации (MFA), в основном с использованием фишингового набора Tycoon.

Один примечательный случай произошел в марте 2025 года, когда фишинговое электронное письмо было отправлено со ссылкой на небольшую авиационную компанию, базирующуюся в США, с использованием темы запроса ценовых предложений (RFQ), имитирующей ILSMart, сервис инвентаризации для аэрокосмического и оборонного секторов. Вредоносная страница, предназначенная для перехвата учетных данных, работала с помощью механизма ретрансляции, который собирал как учетные данные пользователя, так и токены 2FA с помощью метода AiTM (attacker-in-the-middle). В июне 2025 года другая кампания выдала себя за Adobe, используя уникальный поток перенаправлений через URL-адреса SendGrid, ведущие к поддельным страницам аутентификации Microsoft, которые аналогичным образом были направлены на сбор учетных данных и токенов 2FA с помощью Tycoon.

Анализ, проведенный Proofpoint, показал, что было выявлено более двух десятков вредоносных приложений со схожими характеристиками, которые использовали безопасные области OAuth, маскируясь под законные приложения. Большинство из этих вредоносных действий состояли в том, что пользователи обманом вводили учетные данные на фишинговых страницах, которые были неотличимы от законных интерфейсов Microsoft. Приложения, как правило, имели минимальные разрешения, которые сами по себе не могут скомпрометировать учетные записи без участия пользователя, что указывает на относительно низкий уровень успеха при захвате учетных записей.

Использование фишингового набора Tycoon отражает более широкую тенденцию к компрометации корпоративных учетных записей. Tycoon работает как платформа "фишинг как услуга", которая позволяет хакерам перехватывать основные учетные данные и токены сеанса во время сбора учетных данных, эффективно обходя защиту MFA. Кроме того, изменения в операционной инфраструктуре указывают на попытку хакеров избежать обнаружения; наблюдался переход от российских прокси-сервисов к размещению в дата-центрах в США, что свидетельствует об усилении маскировки после более тщательного изучения предыдущей тактики.

Меняющийся ландшафт угроз подчеркивает необходимость принятия более эффективных мер безопасности. Proofpoint подчеркивает важность усиления защиты электронной почты для предотвращения попыток фишинга, внедрения системы облачной безопасности vigilant для обнаружения перехватов учетных записей, изоляции потенциально вредоносных веб-сессий и информирования пользователей об этих рисках. Надвигающийся рост числа случаев фишинга учетных данных AiTM в качестве распространенного метода киберпреступной деятельности указывает на то, что организации должны оставаться активными в своей защите от все более изощренных цепочек атак, нацеленных на идентификацию пользователей и доступ к ним.

#ParsedReport #CompletenessMedium
31-07-2025

Reverse engineering a Lumma infection

https://labs.withsecure.com/publications/reverse-engineering-a-lumma-infection

Report completeness: Medium

Threats:
Lumma_stealer
Amadey
Process_injection_technique
Heavens_gate_technique
Lolbin_technique
Clickfix_technique

Geo:
Japan, Russian

TTPs:

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055.002, T1071.001, T1078, T1105, T1140, T1204.002, T1497.001, T1555, have more...

IOCs:
File: 17
Coin: 2
Domain: 2
Path: 1

Soft:
Telegram, Steam, DiscordCanary, DiscordPTB, curl

Algorithms:
sha256, chacha20, xor, base64

Functions:
Main, Finder, LookupPointer, eval, CallWindowsProcA

Win API:
VirtualProtect, CallWindowProcA, GetProcAddress, LoadLibraryA, LoadLibraryW, LoadLibrary, CreateProcessW, VirtualAlloc, GetThreadContext, ReadProcessMemory, have more...

Languages:
python, powershell, dotnet

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, windows: 11, table: 2, code: 32, dump: 62, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma - это передовая вредоносная программа-похититель информации на C++, известная своими сложными методами уклонения от обнаружения, включая сглаживание потока управления и динамическое удаленное внедрение процессов. Она нацелена на конфиденциальные пользовательские данные и использует надежную адаптивную инфраструктуру с зашифрованными коммуникациями C2. Несмотря на недавние сбои, есть опасения, что это может привести к повторному появлению аналогичных вредоносных программ.
-----

Lumma - это продвинутая вредоносная программа для кражи информации, написанная на C++, которая за последние пару лет стала все более распространенной и изощренной. История разработки Lumma, за которой команда WithSecure Detection and Response впервые наблюдала во время отбора образцов с открытым исходным кодом, началась в декабре 2022 года. Она работает на различных уровнях обслуживания и, как правило, распространяется по каналам Telegram. Вредоносная программа требует упаковки для достижения состояния полной необнаруживаемости (FUD), что указывает на то, что разработчик уделяет значительное внимание полезной нагрузке, передавая создание загрузчика на аутсорсинг.

Инфраструктура, связанная с Lumma, столкнулась с перебоями, в частности, из-за действий международных правоохранительных органов, которые захватили ее панель управления. Microsoft сообщила о значительном количестве заражений, выявив более 394 000 взломанных систем Windows по всему миру в течение определенного периода времени. Несмотря на сбои в работе инфраструктуры Lumma, аналитики ожидают, что либо вредоносное ПО всплывет вновь, либо хакеры могут применить аналогичные методы в новых версиях.

С технической точки зрения, Lumma демонстрирует множество сложных моделей поведения, характерных для современных вредоносных программ. В ней используется сглаживание потока управления для снижения функциональности, что затрудняет анализ решений по обеспечению безопасности. В своем жизненном цикле Lumma использует механизм загрузки, который выполняется с использованием прямого доступа к памяти, включая вызовы для чтения и управления памятью процессов (например, `ReadProcessMemory`, `VirtualAllocEx` и `WriteProcessMemory`). Примечательно, что вредоносная программа имеет механизм, позволяющий определить, запускается ли она в распакованном виде — выполнение, которое запускает предупреждающий запрос, — гарантируя при этом, что упакованная форма остается необнаруженной.

Возможности Lumma по краже информации распространяются на множество конфиденциальных пользовательских данных, потенциально включая учетные данные и данные браузера. Он подключается к различным областям управления (C2), которые циклически меняются в ходе его рабочего цикла, что указывает на надежную инфраструктуру, способную использовать адаптивные стратегии для обеспечения скрытности. Расшифровка доменов C2 выполняется с использованием алгоритма ChaCha20, который демонстрирует дополнительную техническую сложность.

Вредоносная программа умеет осуществлять удаленное внедрение в процесс, которое включает в себя изменение состояния выделенной области памяти в целевом процессе. Этот метод позволяет ей динамически внедрять свою полезную нагрузку — подход, обычно используемый злоумышленниками. Поток событий завершается получением ответа от сервера C2 после выполнения POST-запроса, что позволяет обновлять конфигурацию и осуществлять фильтрацию данных.

Современные рекомендации по обеспечению безопасности от таких угроз, как Lumma, основаны на обучении пользователей распознавать попытки фишинга, мониторинге информации об угрозах (TI) на предмет наличия индикаторов компрометации (IOCs) и внедрении строгих мер контроля доступа и многофакторной аутентификации (MFA). Организациям рекомендуется блокировать сетевой трафик на подозрительные доменные расширения и рассмотреть возможность использования менеджеров паролей для надежной защиты конфиденциальных учетных данных в автономном режиме до тех пор, пока это не потребуется.

#ParsedReport #CompletenessLow
31-07-2025

Pixels of Deception: How VMDetector Loader Hides in Plain Sight

https://www.sonicwall.com/blog/pixels-of-deception-how-vmdetector-loader-hides-in-plain-sight

Report completeness: Low

Threats:
Vmdetector
Formbook
Cloaking_technique

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1036, T1059.001, T1059.005, T1105, T1140, T1204.002, T1566.001

IOCs:
File: 5
Hash: 5
Url: 3

Algorithms:
base64, sha256, zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В фишинговой кампании один из вариантов загрузчика VMDetector скрыт в пиксельных данных файла JPEG. Он использует VBScript для загрузки и выполнения команды PowerShell в кодировке Base64, что в конечном итоге приводит к развертыванию FormBook infostealer. Здесь демонстрируются сложные методы обфускации, позволяющие избежать обнаружения.
-----

Команда исследователей угроз SonicWall Capture Labs обнаружила новую технологию сокрытия, использующую вариант загрузчика VMDetector, который скрывается в пиксельных данных файла JPEG, выглядящего безобидно. Этот хакер появился в результате фишинговой кампании, которая использует сжатые архивы для доставки своей полезной информации. Первоначальное выполнение начинается с файла VBScript с именем "RFQ_1000007012.VBS", который выглядит законным, поскольку использует код из репозитория DocGenerator.vbs на GitHub с открытым исходным кодом. Однако вредоносный контент незаметно встроен в конец скрипта, замаскированный нежелательными символами, чтобы избежать обнаружения сигнатуры. Основная функция скрипта - загрузить дополнительный VBScript с URL-адреса past.ee, выполнив его с помощью функции ExecuteGlobal, маскируясь пользовательской строкой user agent.

Последующий VBScript еще больше закрепляет эту уловку, помещая запутанную полезную нагрузку между двумя, казалось бы, законными файлами сценариев, Configurer.vbs и VBSApp.vbs, оба взяты из одного и того же проекта на GitHub. Такая схема маскирует истинные злонамеренные намерения — после деобфускации скрипт выполняет команду PowerShell в кодировке Base64, которая играет ключевую роль в развитии атаки.

Этот расшифрованный скрипт PowerShell загружает то, что кажется безобидным JPEG-файлом, из archive.org. Однако JPEG - это внешний вид; хотя верхняя часть является подлинным изображением, в нижней части находится загрузчик VMDetector, скрытно встроенный в пиксельные данные растрового изображения. Скрипт сканирует определенную последовательность байт, обозначающую заголовок растрового изображения, что позволяет ему извлекать скрытую вредоносную программу, как если бы он извлекал скрытое сообщение.

После извлечения загрузчик VMDetector организует развертывание конечной полезной нагрузки, идентифицированной как FormBook, печально известного инфокрада, известного своими возможностями кражи данных и шпионажа. Эта цепочка доставки является примером современных методов атаки, которые используют многоуровневую маскировку, чтобы избежать обнаружения при развертывании сложного вредоносного ПО. В подобных кампаниях могут использоваться дополнительные средства, демонстрирующие универсальный подход хакеров.

#ParsedReport #CompletenessHigh
31-07-2025

The Covert Operator's Playbook: Infiltration of Global Telecom Networks

https://unit42.paloaltonetworks.com/infiltration-of-global-telecom-networks/

Report completeness: High

Actors/Campaigns:
Liminal_panda
Gallium
Lightbasin
Unc3886
Red_delta
Slow_tempest
Ghostemperor
Unc5174
Unc4841
Earth_lusca

Threats:
Pingpull
Authdoor
Cordscan
Gtpdoor
Echobackdoor
Chronosrat
Nodepdns
Fscan_tool
Microsocks_tool
Proxychains_tool
Slapstick
Pingpong
Dns_tunneling_technique
Dirty_cow_vuln
Pkexec_tool
Pwnkit_tool
Mitm_technique

Victims:
Telecommunications operators, Telecommunications vendors

Industry:
Telco

Geo:
Asia

CVEs:
CVE-2021-3156 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sudo_project sudo (<1.8.32, <1.9.5)

CVE-2016-5195 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- canonical ubuntu_linux (12.04, 14.04, 16.04, 16.10)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)


TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 24
File: 3

Soft:
SELinux, Linux, Unix, sudo, sshpass

Algorithms:
aes, xor, sha256, base64

Win API:
NetBIOS

Languages:
golang, python

Links:
https://github.com/firefart/dirtycow/blob/master/dirty.c#L47
have more...
https://github.com/miekg/dns/
https://github.com/ly4k/PwnKit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа CL-STA-0969 атакует телекоммуникационные сети в Юго-Западной Азии, используя уязвимости мобильных сетей с помощью атак с использованием грубой силы и пользовательских инструментов, таких как AuthDoor для постоянного доступа. Они используют передовые методы обхода, включая уязвимости с повышением привилегий (CVE-2016-5195, CVE-2021-4034, CVE-2021-3156), и скрывают вредоносные процессы для обеспечения скрытности операций. Их деятельность подчеркивает необходимость повышения безопасности телекоммуникационной инфраструктуры.
-----

Подразделение 42 выявило группу хакеров CL-STA-0969, которая в период с февраля по ноябрь 2024 года атаковала телекоммуникационный сектор Юго-Западной Азии. Группа использует уязвимости во взаимосвязанных сетях мобильного роуминга. Хакеры практикуют передовые методы обеспечения операционной безопасности и используют методы защитного обхода без явных доказательств утечки данных или отслеживания устройств. Первоначальные взломы, вероятно, были связаны с атаками методом "грубой силы" на механизмы аутентификации. Они используют пользовательские инструменты, которые используют такие протоколы, как SSH, ICMP, DNS и GTP, для поддержания доступа и создания скрытых каналов управления (C2).

Один из инструментов, AuthDoor, является бэкдором, реализованным в системе PAM путем перезаписи файла pam_unix.so, что позволяет осуществлять постоянный доступ с помощью жестко заданного волшебного пароля. Другой инструмент, Cordscan, предназначен для узлов доставки пакетных данных для сбора данных о местоположении. GTPDoor обеспечивает связь C2 по туннельному протоколу GPRS.

Группа использует хорошо известные уязвимости для повышения привилегий, включая CVE-2016-5195 (DirtyCOW), CVE-2021-4034 (PwnKit) и CVE-2021-3156 (Sudo), демонстрируя адаптируемые стратегии использования. Они создают обратные SSH-туннели и проводят санитарную обработку журналов, чтобы скрыть свою деятельность.

Вредоносные процессы маскируются под законными именами, а Linux (SELinux) с улучшенной системой безопасности отключен, чтобы избежать ведения журнала безопасности. Используемые инструменты включают FScan для сканирования сети и Responder для сбора учетных данных. Они демонстрируют глубокое понимание динамики сети с использованием серверов SOCKS5 и прокси-цепей. Тактика группы отражает продуманную стратегию постоянного доступа, подчеркивающую необходимость усиления безопасности в затронутых телекоммуникационных инфраструктурах.

#ParsedReport #CompletenessLow
31-07-2025

BadSuccessor

https://ipurple.team/2025/07/28/badsuccessor/

Report completeness: Low

Threats:
Badsuccessor_technique
Credential_harvesting_technique
Kerberoasting_technique
Logan
Sharpsuccessor
Rubeus_tool

TTPs:

ChatGPT TTPs:
do not use without manual check
T1078.002, T1098.002, T1136.002, T1550.003

IOCs:
File: 2

Soft:
Active Directory, Panos

Languages:
dotnet

SIGMA: Found

Links:
have more...
https://github.com/logangoins/SharpSuccessor/
https://github.com/GhostPack/Rubeus

#ParsedReport #ExtractedSchema

Classified images:
windows: 8, schema: 1, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Функция делегированной управляемой учетной записи службы Windows Server 2025 (dMSA) может быть использована с помощью метода, называемого "badSuccessor", который позволяет перемещаться по домену без проверки Kerberos. Злоумышленники могут повысить свои привилегии, изменив атрибуты dMSA для подключения к привилегированным учетным записям, что может привести к потенциальной компрометации домена. Инструмент проверки концепции SharpSuccessor позволяет использовать это, подчеркивая необходимость усовершенствованных стратегий ведения журнала и обнаружения таких угроз.
-----

В Windows Server 2025 от Microsoft появилась важная функция, предназначенная для предотвращения атак на сбор учетных данных, особенно тех, которые связаны с использованием Kerberoasting и утечкой учетных данных. Эта функция вводит делегированную управляемую учетную запись службы (dMSA), которая позволяет администраторам переносить стандартные учетные записи служб в учетные записи компьютеров с управляемыми, рандомизированными ключами. Хотя это упрощает управление паролями для учетных записей служб, это также создает новые возможности для злоупотреблений. Согласно Akamai, разрешения пользователя могут быть воспроизведены в сертификате атрибута привилегий (PAC) учетной записи dMSA без прохождения проверки Kerberos, которая может быть использована хакерами.

Компания Akamai выявила метод, получивший название "badSuccessor", который позволяет злоумышленникам использовать функцию dMSA для перемещения по домену. В этом сценарии предполагается, что первоначальный доступ был получен через взломанную учетную запись, обладающую разрешением "Создать все дочерние объекты". Впоследствии злоумышленник создает произвольный dMSA и изменяет атрибуты, в частности msDS-ManagedAccountPrecededByLink и msDS-DelegatedMSAState, чтобы связать его с привилегированной учетной записью (например, администратором домена) и имитировать завершенный процесс миграции.

Как только dMSA будет настроена, хакер сможет получить разрешение на использование Kerberos (TGT) для текущей учетной записи. С помощью этого запроса они могут запрашивать сервисные запросы (TGS) для различных служб в домене, включая ресурсы, относящиеся к Общей файловой системе Интернета (CIFS) контроллера домена. Такой доступ позволяет потенциально скомпрометировать сам домен.

Логан Гоинс (Logan Goins) выпустил инструмент для проверки концепции под названием SharpSuccessor, написанный на .NET, который эмулирует технологию badSuccessor. Этот инструмент создает новый объект dMSA в организационном подразделении, где пользователь имеет права на запись, и изменяет связанные атрибуты для имитации повышения привилегий. Выполнение определенных команд позволяет инструменту установить необходимые атрибуты для вредоносного dMSA, в том числе привязать его к привилегированной учетной записи администратора.

Чтобы упростить работу с Kerberos, этот инструмент использует Rubeus для взаимодействия со службами аутентификации в среде Windows. Однако существуют меры безопасности, поскольку системы обнаружения и реагирования конечных точек (EDR) могут указывать на использование SharpSuccessor и Rubeus, что делает обнаружение важной частью усилий по устранению неполадок. Стратегии обнаружения должны включать идентификаторы событий, такие как 5136 и 5137, для выявления потенциальных модификаций или признаков компрометации, связанных с технологией badSuccessor. Организациям следует включить расширенное ведение журнала, чтобы обеспечить учет специфики этого вектора атаки при разработке предупреждений, которые могут срабатывать после завершения трех основных этапов: создания учетной записи dMSA, изменения атрибутов и запросов на аутентификацию для заявок на обслуживание. Внедрение правил SIGMA может помочь инженерам по обнаружению в формулировании запросов для эффективного поиска угроз и мониторинга.

#ParsedReport #CompletenessLow
31-07-2025

Anubis and the Death of Data: A New Era of Ransomware Operations

https://www.bitsight.com/blog/anubis-ransomware-group-overview-and-evolution

Report completeness: Low

Threats:
Anubis
Shadow_copies_delete_technique

Victims:
Healthcare provider in victoria, Healthcare organization in canada, Organizations in healthcare, Organizations in construction, Organizations in professional services

Industry:
Education, Financial, Critical_infrastructure, Healthcare

Geo:
France, Peru, Australian, Russian, Australia, Canada

TTPs:
Tactics: 2
Technics: 8

Soft:
Twitter, android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Anubis - это новая группа программ-вымогателей, нацеленная на критически важную инфраструктуру, использующая программу-вымогатель как услугу (RaaS) с выплатой 80% аффилированным лицам. Эта группа использует скрытый фишинг для получения начального доступа, выполнения из командной строки и деструктивных возможностей, включая режим удаления данных для усиления давления на жертв. На Android он действует как банковский троян, в то время как на Windows шифрует файлы и удаляет резервные копии, в первую очередь нацеливаясь на такие отрасли, как здравоохранение и строительство в разных странах.
-----

Число уникальных жертв атак с использованием программ-вымогателей увеличилось на 25%, а число сайтов с утечками информации, которыми управляют группы, - на 53%. В ноябре 2024 года была выявлена группа программ-вымогателей Anubis, общавшаяся на русском языке на форумах темного интернета. Anubis нацелен в первую очередь на критически важную инфраструктуру и использует модель "Программы-вымогатели как услуга" (RaaS), при которой аффилированные лица получают 80% выкупа. Для оказания давления на жертв он использует режим деструктивной очистки. Первоначальный доступ обычно получают с помощью фишинговых электронных писем с вредоносными ссылками или вложениями. Anubis использует интерпретаторы команд и сценариев, что приводит к необычной активности в командной строке, свидетельствующей об атаках. Они используют действительные учетные записи пользователей для доступа к конфиденциальным каталогам, что требует отслеживания необычного поведения. На Android Anubis действует как банковский троян, используя фишинговые оверлеи, запись экрана и кейлоггинг, а также распространяясь через SMS. На Windows он шифрует файлы с помощью интегрированной схемы шифрования с эллиптической кривой (ECIES) и удаляет теневые копии томов, препятствуя восстановлению. Целевые сектора включают здравоохранение, строительство и профессиональные услуги, деятельность которых подтверждена в США, Франции, Австралии и Перу. В ноябре 2024 года поставщик медицинских услуг в Австралии столкнулся с нарушением, связанным с Anubis, что привело к утечке информации о пациентах. Стратегии смягчения последствий включают изоляцию скомпрометированных систем, мониторинг индикаторов компрометации (IOCs) и внедрение многофакторной аутентификации и надежного обнаружения конечных точек.

#ParsedReport #CompletenessLow
31-07-2025

Maritime Sector Faces Surge in APT and Hacktivist Cyber Threats

https://cyble.com/blog/cyberattacks-targets-maritime-industry/

Report completeness: Low

Actors/Campaigns:
Sidewinder
Red_delta
Winnti
Fancy_bear
Tortoiseshell
Turla (motivation: cyber_espionage)
Tomiris (motivation: cyber_espionage)
Red_wolf
Chamelgang

Threats:
Dusttrap
Shadowpad
Velvetshell
Supply_chain_technique

Victims:
Maritime industry, Shipping companies, Ports, Defense contractor, Maritime authority, Middle eastern government body, Transportation and logistics companies, Classification societies, Cargo shipping companies, Naval vessels, have more...

Industry:
Military, Maritime, Transport, Government, Petroleum, Energy, Ics, Logistic

Geo:
Australia, Hong kong, Singapore, Ukraine, China, Russian, Turkey, Vietnam, Spain, Norway, Netherlands, Taiwan, Djibouti, Russia, Israeli, Greece, Thailand, Cambodia, Iranian, Yemen, Italy, Asian, Asia-pacific, American, Chinese, Bangladesh, Egypt

CVEs:
CVE-2025-52579 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2018-19052 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- lighttpd (<1.4.50)

CVE-2025-20309 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco unified_communications_manager (15.0.1.13010-1, 15.0.1.13011-1, 15.0.1.13012-1, 15.0.1.13013-1, 15.0.1.13014-1)

CVE-2024-2658 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-5777 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.328, <13.1-37.235, <13.1-58.32, <14.1-43.56)
- citrix netscaler_gateway (<13.1-58.32, <14.1-43.56)

CVE-2024-20354 [Vulners]
CVSS V3.1: 4.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-22707 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- lighttpd (le1.4.63)

CVE-2019-11072 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- lighttpd (le1.4.53)

CVE-2024-20418 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-6543 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<13.1-37.236, <13.1-59.19, <14.1-47.46)


ChatGPT TTPs:
do not use without manual check
T0856, T0859, T1041, T1078, T1190, T1195, T1200, T1486, T1499, T1566, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Морская отрасль сталкивается с растущим числом хакеров из APT-групп, операторов программ-вымогателей и хактивистов. Атаки используют геополитическую напряженность, нацеливаясь на судоходство, связанное с политическими конфликтами, при этом выявленные уязвимости, такие как CVE-2025-5777 и CVE-2024-2658, создают значительные риски. Использование сложных вредоносных программ, скомпрометированные данные в "темной паутине" и рекомендации по обеспечению безопасности подчеркивают настоятельную необходимость совершенствования мер кибербезопасности в этом секторе.
-----

Морская отрасль стала основной мишенью для хакеров, и за последний год множество хакеров предприняли многочисленные кибератаки. В ходе атак, которые используют геополитический ландшафт, были выявлены группы APT (АПТ), финансово мотивированные хакеры, операторы программ-вымогателей и хактивисты. Заметной тенденцией является преследование судоходных компаний, связанных с политическими конфликтами, таких как пропалестинские хактивисты, нападающие на израильские суда, и российские группировки, наносящие удары по европейским портам в поддержку Украины. Примечательно, что в марте 2025 года группа Lab Dookhtegan провела кибероперацию, которая нарушила связь на 116 иранских судах на фоне военных действий США, подчеркнув интеграцию кибертактики с геополитическими маневрами.

Множество APT-групп нацелились на морской сектор, в том числе SideWinder APT из Южной Азии, которая воздействовала на морские объекты в разных странах, и китайские группы, такие как Mustang Panda и APT41, известные использованием сложных методов атаки, включая внедрение вредоносного ПО через зараженные USB-накопители. Опасения, связанные с использованием вредоносных программ, усиливаются после обнаружения таких продвинутых инструментов, как DUSTTRAP, ShadowPad и VELVETSHELL, используемых этими хакерами в своих операциях.

Уязвимости в области кибербезопасности усугубляются выявлением многочисленных слабых мест в системах, являющихся неотъемлемой частью морских операций. Такие специфические уязвимости, как CVE-2025-5777, влияющие на устройства Citrix NetScaler, и CVE-2024-2658, влияющие на продукты Schneider Electric EcoStruxure, были признаны критически важными для устранения. Эти уязвимости могут представлять угрозу для судовых систем связи и эксплуатации, что подчеркивает необходимость принятия более строгих мер кибербезопасности.

Скомпрометированные данные и несанкционированный доступ к конфиденциальным системам стали обычным явлением в даркнете, где хакеры хвастаются тем, что им удалось сохранить значительные объемы украденных морских данных, включая оперативные отчеты и секретные документы. Кроме того, группы программ-вымогателей нацелились на морские организации, извлекая чертежи и другие важные данные, которые могут подорвать целостность операций.

Для снижения этих рисков были разработаны рекомендации по кибербезопасности, в которых содержится настоятельный призыв к запрету использования персональных USB-устройств в зонах эксплуатации, необходимости автоматизированной облачной защиты от DDoS-атак и требованию к спецификации программного обеспечения с криптографической подписью (SBOMs) для морского программного обеспечения. Безопасность цепочки поставок требует немедленного внимания, включая предложения по ограничению удаленного доступа к устройствам иностранного производства, тщательную оценку безопасности поставщиков и внедрение протоколов безопасного обновления. Разработка протоколов реагирования на инциденты, характерные для морских перевозок, и регулярное моделирование сценариев кибератак также имеют решающее значение для повышения устойчивости к будущим хакерам.