#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Мошенничество "ClickTok" нацелено на пользователей магазина TikTok с помощью фишинговой тактики и троянских приложений, которые напоминают законные платформы, используя похожие домены для кражи учетных данных и эксфильтрации данных. Вредоносная программа функционирует как шпионское ПО, используя Google OAuth для входа в систему и связываясь с серверами C2 для получения дальнейших вредоносных команд, а также используя социальную инженерию с помощью таких платформ, как WhatsApp, для использования доверия пользователей.
-----

Вредоносная кампания, нацеленная на пользователей магазина TikTok, получившая название мошенничества "ClickTok", сочетает в себе тактику фишинга и внедрение вредоносного ПО. Злоумышленники создают обманчивые копии магазина TikTok, используя домены-двойники, которые напоминают подлинные URL-адреса TikTok, чтобы украсть учетные данные пользователей. Используется более 10 000 обезличенных веб-сайтов, часто размещенных на недорогих доменах верхнего уровня, таких как .top, .shop и .icu. Было выявлено более 5000 уникальных сайтов загрузки вредоносных приложений, на которых установлены троянские приложения, имитирующие интерфейс TikTok. Эти приложения используют разновидность шпионского ПО SparkKitty, облегчающего обширную фильтрацию данных с зараженных устройств. Тактика фишинга включает поддельную рекламу и видеоролики TikTok, созданные искусственным интеллектом, чтобы имитировать влиятельных людей, ориентируясь на конечных пользователей и участников партнерской программы TikTok Shop. Отмытые средства облегчаются с помощью криптовалютных транзакций для неотслеживаемых платежей. Вредоносные приложения демонстрируют поведение, похожее на шпионское, имитируя безобидное приложение TikTok, обеспечивая при этом глубокое отслеживание и кражу данных. Google OAuth используется для входа в приложение, чтобы избежать проверок безопасности. Зараженные устройства взаимодействуют с серверами управления, отправляя токены сеанса и получая полезные данные в кодировке Base64 для дальнейших вредоносных действий. Кампания эффективно манипулирует доверием пользователей к бренду TikTok и использует мошенническую тактику продаж для эксплуатации жертв, что указывает на эволюцию киберугроз, нацеленных на популярные цифровые платформы.

#ParsedReport #CompletenessMedium
05-08-2025

GRITREP: Observed Malicious Driver Use Associated with Akira SonicWall Campaign

https://www.guidepointsecurity.com/blog/gritrep-akira-sonicwall/

Report completeness: Medium

Threats:
Akira_ransomware
Byovd_technique

Industry:
Military, Education

ChatGPT TTPs:
do not use without manual check
T1068, T1190, T1543.003, T1553.005, T1562.001

IOCs:
File: 4
Path: 2
Hash: 2

Soft:
Windows Defender, Twitter

Algorithms:
sha256

Platforms:
intel

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Филиалы Akira ransomware используют потенциальную уязвимость нулевого дня в VPN-сетях SonicWall, используя драйверы Windows rwdrv.sys и hlpdrv.sys для уклонения и отключения настроек безопасности. Последний драйвер изменяет настройки защитника Windows, чтобы избежать обнаружения, при этом предоставляется определенный хэш SHA256. Эксперты по безопасности рекомендуют проактивный поиск этих драйверов и внедрение различных мер безопасности для пользователей SonicWall.
-----

В недавних отчетах подчеркивается использование SonicWall VPN аффилированными лицами Akira ransomware, особенно в период с конца июля по начало августа 2025 года. Эта активность, по-видимому, связана с потенциальной незарегистрированной уязвимостью zero-day в VPN SonicWall, как признала SonicWall, хотя конкретные подробности, касающиеся этой уязвимости, не были обнародованы. Аналитики по безопасности заметили схему эксплуатации, приведшую к внедрению Akira ransomware, что вызвало необходимость повышенной бдительности среди пользователей продуктов SonicWall.

Ключом к этой эксплуатации является использование двух драйверов Windows, идентифицированных как rwdrv.sys и hlpdrv.sys , которые используются для защиты от вирусов (AV) и обнаружения конечных точек и реагирования на них (EDR). Тот rwdrv.sys Драйвер - это законный компонент, связанный с ThrottleStop, утилитой настройки производительности для процессоров Intel. Сообщается, что филиалы Akira регистрируют этот драйвер в качестве сервиса для получения доступа на уровне ядра, что облегчает дальнейшую вредоносную деятельность.

Второй драйвер, hlpdrv.sys , при выполнении изменяет критические настройки защитника Windows с помощью regedit.exe , специально направленный на отключение антишпионских возможностей. Это действие позволяет другим вредоносным компонентам работать незамеченными. Вредоносный драйвер был задокументирован с использованием его хэша SHA256 (bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56), доступного как в коммерческих, так и в открытых репозиториях вредоносных программ. Утверждается, что rwdrv.sys может обеспечить выполнение hlpdrv.sys , хотя точный механизм остается неподтвержденным.

В ответ на эту угрозу защитникам рекомендуется активно искать эти драйверы в своей среде в рамках стратегии проактивной защиты. Кроме того, пользователям SonicWall VPN рекомендуется применять определенные меры безопасности для снижения риска. К ним относятся отключение служб SSLVPN там, где это возможно, ограничение подключения к надежным IP-адресам, включение дополнительных мер безопасности, таких как защита от ботнетов и фильтрация гео-IP, принудительная многофакторная аутентификация, удаление неиспользуемых учетных записей и поддержание надлежащей гигиены паролей. Развертывание правила YARA для обнаружения hlpdrv.sys на основе конкретных строк, условий и импорта также было предложено расширить возможности поиска угроз в отношении этого выявленного поведения аффилированных лиц Akira ransomware.

#ParsedReport #CompletenessLow
05-08-2025

GenAI Used For Phishing Websites Impersonating Brazils Government

https://www.zscaler.com/blogs/security-research/genai-used-phishing-websites-impersonating-brazil-s-government

Report completeness: Low

Threats:
Seo_poisoning_technique

Victims:
Brazilian state department of traffic, Brazilian ministry of education, Individual citizens

Industry:
Education, Healthcare, Government

Geo:
Brazil, Brazilian

ChatGPT TTPs:
do not use without manual check
T1036.005, T1056, T1192, T1566, T1566.001, T1566.002

IOCs:
File: 1

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют генеративные инструменты искусственного интеллекта для создания убедительных фишинговых страниц, имитирующих веб-сайты бразильского правительства, используя SEO-отравление для привлечения жертв. Эти мошенники собирают конфиденциальную информацию, включая номера CPF, и требуют платежей через Pix, маскируя их под законные транзакции. Фишинговые наборы демонстрируют шаблоны, сгенерированные искусственным интеллектом, включая чрезмерно пояснительные комментарии к коду и нефункциональные элементы пользовательского интерфейса, что указывает на сочетание изощренности и мошенничества.
-----

Злоумышленники используют генеративные инструменты искусственного интеллекта для создания сложных фишинговых страниц, имитирующих веб-сайты бразильского правительства. Эти попытки фишинга используют SEO-отравление для повышения видимости и привлечения жертв. Мошеннические сайты собирают конфиденциальную информацию, такую как номера паспортных данных (CPF) и адреса проживания, используя API для проверки этой информации для повышения достоверности. Платежи от жертв обрабатываются через бразильскую платежную систему Pix, замаскированную под законные транзакции. Два распространенных фишинговых шаблона нацелены на жертв, выдавая себя за Государственный департамент дорожного движения Бразилии и Министерство образования. Анализ фишинговых наборов показывает шаблоны контента, сгенерированные искусственным интеллектом, включая подробные комментарии и использование TailwindCSS для оформления. Фишинговые страницы содержат нефункциональные элементы пользовательского интерфейса, которые указывают на их мошеннический характер. Изучение файлов JavaScript выявляет комментарии, которые предполагают, что использовался генеративный искусственный интеллект, поскольку они более понятны, чем типичное запутывание фишинговыми наборами. Процесс фишинга имитирует традиционные информационные запросы, запрашивая данные CPF и адреса, подтвержденные с помощью контролируемого API. На заключительном этапе атак запрашивается "обязательный регистрационный взнос" через Pix, обычно около 87,40 реалов (приблизительно 16 долларов США).

#ParsedReport #CompletenessMedium
06-08-2025

Unmasking SocGholish: Silent Push Untangles the Malware Web Behind the Pioneer of Fake Updates and Its Operator, TA569

https://www.silentpush.com/blog/socgholish/

Report completeness: Medium

Actors/Campaigns:
Darkhotel (motivation: financially_motivated, disinformation, cyber_criminal)
Ta569 (motivation: financially_motivated, disinformation, cyber_criminal)
Evil_corp
Ta2726
Ta2727
Vextrio
Silverfish
Unc4108

Threats:
Socgholish_loader
Parrot_tds
Keitaro_tds_tool
Raspberry_robin
Lockbit
Wastedlocker
Netsupportmanager_rat
Hades
Dridex
Fastflux_technique
Mintsloader
Doiloader
Lumma_stealer
Frigidstealer
Marcher
Boinc_tool

Industry:
Financial, Education

Geo:
Russian, Russia, Canada, Spain, Usa, German, Spanish, France, American

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1071.001, T1090.003, T1105, T1189, T1204.002, T1219, T1486, T1583.001, have more...

IOCs:
Domain: 26
Url: 9
File: 5

Soft:
Chrome, Firefox, Flash Player, Microsoft Teams, Android, macOS, WordPress, Google Chrome, Chrome r, Raspberry Pi, have more...

Algorithms:
base64

Functions:
btnClickStat, btnClickAction

Languages:
javascript, php, jscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SocGholish от TA569 работает как вредоносное ПО как услуга, используя поддельные обновления браузера и инъекции JavaScript для распространения вредоносного ПО через скомпрометированные сайты. Он использует системы распределения трафика для уклонения и служит посредником первоначального доступа для различных киберпреступных организаций. Эта операция облегчает масштабные последующие атаки, включая программы-вымогатели, что свидетельствует о значительном сотрудничестве в экосистеме киберпреступности.
-----

SocGholish - это сложная вредоносная программа, управляемая злоумышленником TA569, функционирующим как поставщик вредоносного ПО как услуги (MaaS). TA569 продает доступ к скомпрометированным системам, в первую очередь используя тактику обмана, такую как поддельные "обновления браузера", для инициирования заражений. Основной метод заражения включает в себя внедрение JavaScript на скомпрометированные веб-сайты, что приводит к загрузке вредоносных программ с диска. SocGholish использует системы распределения трафика (TDS), такие как Parrot TDS и Keitaro TDS, чтобы направлять жертв на вредоносные сайты, избегая при этом обнаружения. Такой подход позволяет TA569 выступать в качестве посредника первоначального доступа (IAB), облегчая последующие атаки для других киберпреступных организаций и спонсируемых государством групп, включая российское ГРУ.

Аналитики Silent Push Threat внимательно следят за деятельностью SocGholish с 2024 года, наблюдая за его эволюцией от простого семейства вредоносных программ до значительного игрока в экосистеме киберпреступности. Группа использует различные псевдонимы, такие как "FakeUpdates", и была связана с операциями, затрагивающими широкий круг жертв по всему миру. Примечательно, что TA569 продавал зараженный доступ к сложным целенаправленным атакам (APT), таким как LockBit и Evil Corp, а также злоумышленникам, использующим различные трояны удаленного доступа (RATs) и infostealers.

Атаки обычно маскируются под законные обновления программного обеспечения, при этом процесс заражения включает в себя передовые методы фильтрации, позволяющие избежать обнаружения, такие как слежка за доменами и частая смена доменов каждые два-три дня. Поддельные страницы обновлений, представленные пользователям, призваны имитировать реальные обновления программного обеспечения и предназначены для агрессивной замены существующего содержимого веб-страницы с использованием JavaScript, чтобы затруднить усилия по обнаружению. Методы мониторинга отслеживают взаимодействие пользователей, чтобы определить, следует ли загружать дополнительные полезные приложения, при этом компоненты вредоносного ПО часто появляются в запутанных форматах.

Два известных TDSS — Parrot и Keitaro — играют важную роль в жизненном цикле заражения. Parrot TDS была идентифицирована как один из основных каналов SocGholish, специализирующийся на целевом перенаправлении на вредоносные сайты, в то время как Keitaro TDS была вовлечена как в рекламную, так и в киберпреступную деятельность, потенциально связанную с российскими операциями по дезинформации. Широко распространенные последствия заражения SocGholish подчеркивают необходимость усиления мер кибербезопасности, поскольку заражение может перерасти в серьезные последующие атаки, включая внедрение программ-вымогателей, выполняемых другими злоумышленниками.

TA569 также установил связи с различными хакерскими группировками, включая те, которые связаны с программами-вымогателями, такими как LockBit и Dridex. Эти отношения иллюстрируют более широкую тенденцию сотрудничества между преступными сетями, где первоначальные точки доступа, созданные при посредничестве SocGholish, обеспечивают стартовую площадку для дальнейшей эксплуатации. Таким образом, SocGholish проявляется не только как самостоятельная угроза, но и как важнейший посредник на всеобъемлющем рынке киберпреступности, что еще больше усложняет усилия по защите от этой всепроникающей проблемы безопасности.

#ParsedReport #CompletenessLow
04-08-2025

Tracking Updates to Raspberry Robin

https://www.zscaler.com/blogs/security-research/tracking-updates-raspberry-robin

Report completeness: Low

Actors/Campaigns:
Raspberry_robin

Threats:
Raspberry_robin

CVEs:
CVE-2024-38196 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20751)
- microsoft windows_10_1607 (<10.0.14393.7259)
- microsoft windows_10_1809 (<10.0.17763.6189)
- microsoft windows_10_21h2 (<10.0.19044.4780)
- microsoft windows_10_22h2 (<10.0.19045.4780)
have more...

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1059, T1068, T1071.001, T1090.003, T1204, T1497.001, T1564.001

IOCs:
File: 1
Hash: 2

Algorithms:
aes, rc4, crc-64, aes-ctr, chacha20

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Raspberry Robin, сложный загрузчик с 2021 года, распространяется через скомпрометированные USB-накопители и использует передовые методы шифрования (ChaCha-20) и запутывания. Он использует CVE-2024-38196 для локального повышения привилегий, использует недопустимые домены TOR для C2 и включает даты истечения срока действия в свои двоичные файлы, что усложняет обнаружение и анализ.
-----

Raspberry Robin, также известный как Roshtyak, представляет собой сложный загрузчик, который активен с 2021 года, в основном распространяясь через скомпрометированные USB-устройства. Постоянные усилия по развитию его возможностей привели к появлению новых методов обфускации и внедрению более совершенного метода шифрования. Последние обновления показывают переход от AES-CTR к алгоритму шифрования ChaCha-20 для обеспечения безопасности сетевых коммуникаций. Этот сдвиг повышает безопасность за счет использования жестко закодированного 32-байтового ключа шифрования со случайно генерируемыми значениями счетчика и одноразового номера для каждого запроса, что усложняет расшифровку для потенциальных противников.

Вредоносная программа также интегрировала новый локальный эксплойт повышения привилегий, CVE-2024-38196, который позволяет ей получать повышенные привилегии в целевых системах, создавая повышенный риск для безопасности. Кроме того, Raspberry Robin использует недопустимые домены TOR onion в своей инфраструктуре command-and-control (C2), используя жестко запрограммированный алгоритм для динамического исправления этих поврежденных доменов. Эта корректировка направлена на то, чтобы запутать меры обнаружения и усложнить аналитикам извлечение индикаторов компрометации (IOCs).

Стратегии обфускации вредоносного ПО претерпели значительные улучшения. Недавние модификации включают встраивание запутанных указателей стека, которые затрудняют анализ с помощью таких инструментов, как IDA, что приводит к сбоям декомпиляции, требующим разрешения вручную. Условные операторы в коде вредоносного ПО также запутаны, что усложняет логический анализ при обратном проектировании. В то время как шифрование сетевых данных в основном остается неизменным, вариации в начальных значениях алгоритма CRC-64, который все еще используется, добавляют еще один уровень сложности за счет рандомизации этих значений для каждой выборки и кампании.

Raspberry Robin еще больше усложняет обнаружение и обратный инжиниринг, вводя даты истечения срока действия в свой двоичный код, ограничивая выполнение каждого образца периодом в одну неделю. Эта постоянная эволюция подчеркивает профиль постоянных угроз Raspberry Robin's, поскольку он включает в себя обновленные методы обфускации, передовые методы шифрования и тактические маневры, позволяющие избежать обнаружения. Несмотря на его относительно малоизвестное присутствие по сравнению с другими семействами вредоносных программ, постоянные усовершенствования укрепляют его статус серьезной проблемы для команд по кибербезопасности.

#ParsedReport #CompletenessHigh
06-08-2025

PyLangGhost RAT: Rising Data Stealer from Lazarus Group Targeting Finance and Technology

https://any.run/cybersecurity-blog/pylangghost-malware-analysis/

Report completeness: High

Actors/Campaigns:
Lazarus
Famous_chollima

Threats:
Pylangghost
Invisibleferret
Beavertail
Ottercookie
Golangghostrat
Clickfix_technique
Golangghost
Fakecaptcha_technique

Victims:
Developers, Executives

Industry:
Financial

Geo:
United kingdom, Dprk, Iran, North korean

TTPs:

IOCs:
File: 14
Command: 1
Url: 2
Domain: 1
IP: 2
Hash: 5

Soft:
Chrome, Zoom, curl, Google Chrome

Wallets:
metamask, coinbase

Algorithms:
aes, xor, zip, md5, base64, rc4, chacha20, aes-gcm, sha256

Functions:
IsUserAnAdmin

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PyLangGhost RAT, вредоносное ПО на базе Python, связанное с северокорейской Lazarus group, внедряется с помощью тактики социальной инженерии, такой как поддельные собеседования при приеме на работу. Он нацелен на криптовалютные кошельки, используя привилегии, и использует слабое шифрование для связи C2, что затрудняет обнаружение.
-----

PyLangGhost RAT, недавнее дополнение к арсеналу спонсируемой государством северокорейской группы Lazarus, представляет собой заметный прогресс в методологиях борьбы с киберугрозами, нацеленных на финансовый сектор и криптовалютный сектор. Это вредоносное ПО, представляющее собой адаптацию ранее созданного GoLangGhost RAT на основе Python, в основном распространяется с помощью целенаправленной социальной инженерии, а не традиционными средствами, такими как пиратское программное обеспечение или зараженные USB-устройства. В атаках используются тщательно спланированные поддельные собеседования при приеме на работу и сценарии устранения технических неполадок, когда злоумышленники представляют ложные сообщения об ошибках, связанных с доступом к камере или микрофону. Цели запускают специально разработанные сценарии, которые на первый взгляд кажутся решающими проблему, но на самом деле предоставляют злоумышленникам полный удаленный доступ к их системам.

Сложный механизм доставки, классифицируемый как “ClickFix”, основан на том, что жертвы обманом заставляют выполнять команды, которые, как полагают, устраняют предполагаемые технические проблемы. Основной компонент, nvidia.py , взаимодействует с несколькими модулями (config.py , api.py , command.py , util.py , auto.py ) для обеспечения закрепления, облегчения выполнения команд, управления связью с серверами командования и контроля (C2) и кражи учетных данных. Вредоносная программа специально нацелена на цифровые кошельки, хранящиеся в браузере, и учетные данные для входа в популярные криптовалютные расширения, включая MetaMask и Coinbase Wallet, используя повышение привилегий и передовые методы дешифрования.

Что касается связи, PyLangGhost RAT использует необработанные IP-адреса для взаимодействия C2 без шифрования, используя слабые методы шифрования RC4/MD5. Такая конструкция обеспечивает низкий уровень обнаружения, что делает вредоносное ПО незаметным во время его работы. Строки пользовательского агента и быстрые запросы к инфраструктуре C2 служат ключевыми индикаторами для систем обнаружения. Структура вредоносного ПО полностью переопределена на Python, отображая шаблоны кодирования, которые предполагают потенциальную помощь искусственного интеллекта в процессе кодирования, о чем свидетельствуют такие неэффективности, как закомментированные разделы и нестандартные логические структуры.

Компоненты вредоносного ПО обеспечивают закрепление с помощью изменений реестра и поддерживают связь с сервером C2, который можно отследить в нескольких географических точках, включая Великобританию и Иран. Выдавая себя за законные процессы и используя административные привилегии, вредоносная программа может выполнять команды, которые позволяют ей легко извлекать конфиденциальные данные.

Угроза, исходящая от PyLangGhost RAT, существенна из-за его малозаметной работы, позволяющей злоумышленникам оставаться в сети незамеченными, что значительно увеличивает риск утечки данных и финансовых потерь. Организации должны внедрять надежные механизмы защиты, уделяя особое внимание анализу поведения, ограничению административных привилегий и повышению осведомленности сотрудников о безопасности, чтобы снизить риски, связанные с такими изощренными атаками. Использование передовых инструментов изолированной защиты, таких как ANY.RUN, позволяет быстро обнаруживать аналогичные угрозы, уделяя приоритетное внимание быстрому реагированию на инциденты, чтобы минимизировать потенциальные воздействия от кибератак.

#ParsedReport #CompletenessMedium
06-08-2025

From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira

https://thedfirreport.com/2025/08/05/from-bing-search-to-ransomware-bumblebee-and-adaptixc2-deliver-akira/

Report completeness: Medium

Threats:
Bumblebee
Adaptixc2_tool
Akira_ransomware
Seo_poisoning_technique
Cobalt_strike_tool
Metasploit_tool
Sliver_c2_tool
Nltest_tool
Rustdesk_tool
Angry_ip_scanner_tool

Victims:
Various organizations, Enterprise, Organizations responded to by swisscom b2b csirt

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 4
File: 19
IP: 7
Email: 1
Path: 4
Command: 1
Hash: 6

Soft:
Active Directory, SoftPerfect network scanner, PostgreSQL

Algorithms:
exhibit

Platforms:
intel

Links:
https://github.com/Adaptix-Framework/AdaptixC2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа Bumblebee использовалась с конца 2021 года для первоначального доступа с помощью SEO-отравления, что привело к установке троянского установщика программного обеспечения, который обеспечивает дальнейшую компрометацию сети и развертывание Akira Ransomware. Злоумышленники переходят от одного хоста к полному контролю над сетью, используя такие методы, как сброс учетных данных, боковое перемещение и инструменты постоянного доступа. Стратегии обнаружения включают мониторинг дампов LSASS, извлечение учетных данных и необычную межсистемную активность.
-----

Вредоносная программа Bumblebee используется в качестве инструмента первоначального доступа с конца 2021 года. Он использует SEO-отравление для распространения себя, выдавая себя за программное обеспечение для управления ИТ. В мае и июле 2025 года были отмечены кампании, в ходе которых пользователи, которые искали "ManageEngine OpManager", перенаправлялись на вредоносный сайт, поставляющий программу установки троянского программного обеспечения. Этот установщик запустил вредоносную программу Bumblebee, предоставив первоначальный доступ злоумышленникам.

Злоумышленники осуществили боковое перемещение к контроллерам домена, сброс учетных данных и установили средства постоянного удаленного доступа. Для извлечения данных использовались SFTP-клиенты, и за этим последовало развертывание программы-вымогателя Akira по всем сетям. Пользователи непреднамеренно загрузили троянский установщик ".msi", который запускал как предполагаемое программное обеспечение, так и вредоносную программу Bumblebee, которая взаимодействовала с серверами управления с использованием доменов DGA.

Через пять часов после выполнения Bumblebee развернул маяк AdaptixC2 для дополнительного контроля. Внутренняя разведка была проведена с помощью утилит Windows, а постоянный доступ был установлен через RustDesk. Злоумышленники нацелились на серверы резервного копирования и извлекли учетные данные из баз данных Veeam PostgreSQL, используя сброс памяти LSASS.

Время от первоначального доступа до развертывания программы-вымогателя составило приблизительно 44 часа, при этом инцидент с Swisscom был зафиксирован через девять часов. Были обнаружены дополнительные вредоносные сайты, связанные с троянскими установщиками для различных ИТ-инструментов. Стратегии обнаружения включают в себя идентификацию дампов LSASS с необычными расширениями, мониторинг извлечения учетных данных PostgreSQL, отслеживание экспорта зон DNS и поиск шаблонов, связанных с Bumblebee.

Следует настроить оповещения о последовательностях многоэтапных атак, действиях по межсистемной аутентификации и установке средств удаленного доступа с последующим туннелированием по SSH.