#ParsedReport #CompletenessMedium
09-08-2025

Echoes in the Shell: Legacy Tooling Behind Ongoing SharePoint ToolShell Exploitation

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/echoes-in-the-shell-legacy-tooling-behind-ongoing-sharepoint-toolshell-exploitation/

Report completeness: Medium

Actors/Campaigns:
Emissary_panda
Apt31
Storm-2603
Red_delta
Silver_fox

Threats:
Toolshell_vuln
Credential_harvesting_technique
Chinachopper
Antsword
Proxynotshell_vuln
Valleyrat

Victims:
Organizations using microsoft sharepoint on premises

Geo:
Chinese, China

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)

CVE-2019-0604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_foundation (2013)
- microsoft sharepoint_server (2010, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)


TTPs:
Tactics: 3
Technics: 12

IOCs:
File: 7
Domain: 1
Hash: 4

Soft:
Microsoft SharePoint, ASP.NET, Active Directory, curl, Visual Studio Code

Algorithms:
base64

Functions:
GetApplicationConfig, WriteAllBytes, eval

Languages:
jscript, powershell

Platforms:
cross-platform

Links:
https://github.com/AntSwordProject/antSword

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Trustwave SpiderLabs CTI отмечает быстрое использование SharePoint на этапе подготовки, когда злоумышленники переходят от первоначального доступа к рекогносцировке, краже учетных данных и развертыванию веб-оболочки, а также исходящему трафику C2. Метод веб-оболочки использует Base64 PowerShell и WriteAllBytes() для удаления ASP.NET страницы (list_display.aspx/listdisplay.aspx) в папку LAYOUTS через IIS worker. Кампании ссылаются на домены RequestRepo C2 и пересекаются с действиями AntSword/China Chopper и ProxyNotShell эпохи, используя устаревшие ASP.NET такие компоненты, как ViewState и machineKey.
-----

Исследователи Trustwave SpiderLabs CTI наблюдали быстро развивающийся ландшафт угроз, сосредоточенный на широкомасштабном использовании локального Microsoft SharePoint. Действие охватывает несколько корпоративных сред, при этом злоумышленники переходят от первоначального компрометирования к операциям после эксплуатации, которые включают разведку, credential harvesting и развертывание веб-оболочки, за которыми следуют исходящие подключения к инфраструктуре, контролируемой злоумышленником, что указывает на вторжение с клавиатуры и устойчивый доступ.

Процесс эксплуатации согласуется с раскрытием корпорацией Майкрософт уязвимостей на локальных серверах SharePoint. После первоначального доступа участники проводят целенаправленную внутреннюю разведку и действия по краже учетных данных, кульминацией которых является развертывание веб-оболочек. В нескольких случаях телеметрия показывала исходящие соединения от скомпрометированных систем к инфраструктуре командования и контроля (C2), контролируемой злоумышленником, что сигнализировало о продолжающемся контроле и мониторинге со стороны злоумышленников.

Поведение после эксплуатации часто связано с рабочим процессом IIS, при этом подозрительная активность исходит из различных пулов приложений SharePoint и часто нацелена на внутренние службы Active Directory. Примечательная тактика веб-оболочки включает в себя больше команд PowerShell в кодировке Base64, используемых в сочетании с функцией WriteAllBytes() для удаления ASP.NET страницы в каталоге SharePoint LAYOUTS, в частности файлы с именами list_display.aspx и listdisplay.aspx.

В дополнение к локальному сохранению, кампании включали попытки установить исходящую связь C2 с доменами, связанными с RequestRepo, что подчеркивает способность акторов поддерживать каналы удаленного доступа и эксфильтрации.

Атрибуция остается неопределенной, но исследователи заметили совпадения с такими инструментами, как AntSword и China Chopper, в кампаниях по использованию SharePoint в середине 2025 года, с историческими связями с активностью эпохи ProxyNotShell в 2022 году, что предполагает потенциальные связи между кампаниями и общими TTP.

В выводах подчеркиваются уроки защиты: несмотря на то, что SharePoint является современной платформой, в локальной среде по-прежнему присутствуют уязвимости, связанные с устаревшими версиями ASP.NET компоненты, включая конфигурации ViewState и machineKey. Эти проблемы сохраняются из-за требований обратной совместимости и несогласованного усиления безопасности в разных развертываниях, что оставляет незащищенными области, которыми могут злоупотреблять злоумышленники.

#ParsedReport #CompletenessLow
08-08-2025

CastleLoader

https://blog.polyswarm.io/castleloader

Report completeness: Low

Threats:
Castleloader
Netsupportmanager_rat
Stealc
Redline_stealer
Deerstealer
Hijackloader
Sectop_rat
Clickfix_technique

Victims:
Us government entities

Industry:
Software_development, Government

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1566, T1583.006

IOCs:
Hash: 1

Soft:
SQL Server Management Studio, Docker

Languages:
autoit, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CastleLoader - это модульный загрузчик вредоносных программ, который будет запущен в 2025 году и который внедряет похитителей информации и крыс по модульной цепочке. Кампании используют фишинг на тему Cloudflare с помощью ClickFix и поддельных репозиториев GitHub для доставки полезной нагрузки, причем 469 из 1634 попыток (28,7%) были нацелены на государственные структуры США. Загрузчик обеспечивает быстрое переключение полезной нагрузки для постоянной фильтрации данных и удаленного доступа, используя надежные платформы.
-----

CastleLoader - это модульный загрузчик вредоносных программ, появившийся в начале 2025 года, разработанный для доставки похитителей информации и троянов удаленного доступа (RATs) по сложной цепочке атак. По данным исследователей PRODAFT, с мая 2025 года кампании заразили 469 устройств из 1634 попыток, что составляет 28,7%, что указывает на высокий уровень эффективности использования поведения пользователей и надежных платформ. Загрузчик действует как дроппер, способный развертывать целый ряд полезных нагрузок, обеспечивая быстрое переключение между модулями для кражи информации и возможностями дистанционного управления, с заметным акцентом на нацеливание на правительственные учреждения США.

Метод кампании основан на фишинговых приманках, разработанных так, чтобы напоминать коммуникации на тему Cloudflare с помощью фишинга ClickFix и использования поддельных репозиториев GitHub для размещения и доставки полезных данных. Этот подход использует социальную инженерию и доверие к популярным платформам для облегчения первоначального доступа с последующим внедрением похитителей информации и RATs с помощью модульной платформы CastleLoader. Сочетание обманчивого брендинга, полезных нагрузок, размещенных на GitHub, и модульного механизма доставки отражает сложную цепочку атак, направленную на обеспечение постоянной фильтрации данных и удаленного доступа. Наблюдаемый уровень инфицирования и нацеленность на цели, связанные с правительством, подчеркивают стратегическую ценность и потенциальное воздействие этих кампаний на чувствительные сети.

#ParsedReport #CompletenessHigh
09-08-2025

From Bitmaps to Payloads: Echoes of TA558 in Italian-Language Campaigns

https://raw.githubusercontent.com/ShadowOpCode/From-Bitmaps-to-Payloads/main/From%20Bitmaps%20to%20Payloads.pdf

Report completeness: High

Actors/Campaigns:
Ta558
Steganoamor
Blindeagle
Sticky_werewolf
Comment_crew

Threats:
Steganography_technique
Purelogs
Remcos_rat
Ngrok_tool
Stego_loader
Purehvnc_tool
Terminator_tool
Opendir_technique

Victims:
Italy, Colombia

Geo:
Italy, Colombian, Spanish, French, Italian, Latin american, Italia, Portuguese

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.003, T1027.009, T1027.009, T1027.010, T1059.001, T1059.003, T1059.005, T1105, T1203, T1204.002, have more...

IOCs:
Url: 6
Domain: 1
IP: 4
File: 20
Path: 4
Hash: 5
Command: 1

Soft:
Microsoft Visual C++, Windows PowerShell

Algorithms:
sha256, base64

Functions:
VAI, Replace

Languages:
cscript, powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Июльский–Август 2025 Итальянская кампания malspam использует вложения invoice XLS для доставки стеганографического загрузчика на основе BMP, который использует CVE-2017-11882 для загрузки сборки .NET в память. Загрузчик считывает основную строку данных BMP, восстанавливает полезную нагрузку с длиной в меньшем порядке, загружает DLL через отражение и вызывает метод; строка с обратным base64 указывает на обратный шестнадцатеричный PE-URL с многоязычными именами переменных. TA558 является вероятным актором с инфраструктурой на 181.206.158.190; варианты связывают mshta → cmd → batch → wscript → PowerShell с ASP.NET стадия компиляции и Remcos C2.
-----

Недавняя кампания malspam на итальянском языке, наблюдавшаяся в период с июля по август 2025 года, демонстрирует стеганографический загрузчик, который сочетает использование CVE-2017-11882 с внедрением полезной нагрузки на основе .NET. Приманка использует электронные письма на тему счетов-фактур (fattura), отправляемые с адресов, звучащих на итальянском языке, с приложением XLS. Одна кампания выдает себя за Leister Technologies Italia S.r.l., при этом Excel пытается получить длинную цепочку перенаправлений после открытия файла, включая ссылку на службу сокращения. Глубже в примере код показывает контейнер на основе растровых изображений, а не тонкую steganography LSB, и наличие имен переменных итальянского происхождения, таких как “strozzapreti”, которые расшифровываются как “VAI”, намекая на географическую сигнатуру злоумышленника.

Загрузчик на основе BMP восстанавливает полезную нагрузку, загружая байты BMP в MemoryStream, перебирая каждый пиксель в порядке возрастания строк и добавляя байты красного, зеленого и синего каналов непосредственно в список. Первые четыре байта обрабатываются как 32-разрядная длина N с младшим порядком байтов, а следующие N байтов формируют фактическую полезную нагрузку - необработанные байты сборки .NET. Затем эти байты загружаются в память с помощью отражения.Сборка.Загружается, и метод внутри сборки вызывается посредством отражения. Обратная строка base64 в загрузчике декодируется в URL-адрес, содержащий PE-файл в обратном шестнадцатеричном коде. Лингвистический след загрузчика включает итальянские и французские имена переменных, а в библиотеке DLL появляются португальские термины, что указывает на многоязычность разработки и закономерность, наблюдаемую в инструментарии TA558.

Варианты кампании включают инфраструктуру, связанную с 181.206.158.190, причем первый образец нацелен на колумбийских пользователей и приводит к вредоносному JavaScript, который инициирует цепочку заражения. Схема работы соответствует методам SteganoAmor, связанным с TA558, хотя атрибуция остается неопределенной, поскольку ptsecurity отмечает, что этот TTP использовался несколькими группами, включая PhaseShifters и Blind Eagle. В другом примере запутанный VBScript запускает последовательность PowerShell; полезная нагрузка Remcos связывается с C2 по адресу updatedrvier.duckdns.org:3001, в то время как другое изображение, wp4096799-lost-in-space-wallpapers.jpg , участвует в связанной цепочке. Наблюдаемое дерево процессов начинается с mshta.exe , за которым следует cmd.exe запуск пакетного файла из Temp, conhost.exe , wscript.exe выполнение VBS из Temp, затем PowerShell с закодированными командами и завершается ASP.NET этап компиляции, связанный с “purehvnc”. Анализ приводит к выводу, что TA558 является наиболее вероятным актором, с оговорками относительно общей инфраструктуры, и подчеркивает, что технология — доставка XLS-файлов на тему счетов-фактур с steganography BMP в формате JPG, предоставляющая .NET DLL в памяти - остается основным вектором атаки. Руководство по защите сосредоточено на выявлении файлов JPG со встроенными заголовками BMP и мониторинге общедоступных файловых хостингов на предмет подозрительных загрузок, дополненных правилами IOCs и YARA в полном отчете.

#ParsedReport #CompletenessHigh
06-08-2025

Dissecting the CastleBot Malware-as-a-Service operation

https://www.ibm.com/think/x-force/dissecting-castlebot-maas-operation

Report completeness: High

Actors/Campaigns:
Hive0137
Asylum_ambuscade
Ta866

Threats:
Castlebot
Process_injection_technique
Netsupportmanager_rat
Warmcookie
Seo_poisoning_technique
Clickfix_technique
Castleloader
Sandbox_evasion_technique
Dave_loader
Stealc
Rhadamanthys
Remcos_rat
Deerstealer
Sectop_rat
Hijackloader
Shadowladder
Monster_ransomware

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053, T1055, T1071.001, T1105, T1106, T1179, T1204.002

IOCs:
Url: 24
Hash: 20
IP: 2
File: 15
Path: 1

Soft:
Instagram, Task Scheduler

Algorithms:
rc4, xor, chacha20, sha256, zip

Win API:
GetProcAddress, VirtualProtect, NtAllocateVirtualMemory, ShellExecuteW, GetUserNameW, NetBIOS, GetComputerNameW, IsWow64Process, LsaQueryInformationPolicy, GetVolumeInformationW, have more...

Languages:
autoit, powershell

Platforms:
x86

Links:
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CastleBot (2025) - это модульная система MaaS, предоставляющая средства сбора информации и бэкдоры (NetSupport, WarmCookie) с помощью троянского программного обеспечения, поддельных сайтов и олицетворений GitHub. Stager вводит шеллкод; загрузчик отображает разделы PE через NtAllocateVirtualMemory; ядро использует хэширование AP и зашифрованный C2 после первоначального получения. Июль 2025 добавляет wow64_bypass для запуска 32-разрядных двоичных файлов; кампании развертывают несколько полезных нагрузок, при этом WarmCookie привязан к TA866/Asylum Ambuscade, сигнализируя бэкдорам MaaS об активности, подобной программе-вымогателю.
-----

CastleBot - это вредоносное ПО как услуга, появившееся в начале 2025 года и с тех пор расширившееся за счет развертывания целого ряда полезных приложений, от инфокрадов до бэкдоров, таких как NetSupport и WarmCookie. Операция является модульной, состоит из трех компонентов (stager, loader и core) и, по-видимому, находится в стадии активной разработки. На его поверхности заражения преобладает троянское программное обеспечение, поставляемое через поддельные веб-сайты с SEO poisoning, репозитории GitHub, выдающие себя за законное программное обеспечение, и такие методы, как метод ClickFix.

Stager CastleBot - это облегченная полезная нагрузка шеллкода, которая может быть введена любым загрузчиком первого этапа. Он обычно используется для доставки более существенных загрузчиков и основных компонентов, с наблюдаемыми шифровальщиками, включая Dave, шифровальщик на основе AutoIt и простые шифровальщики на основе C. Загрузчик - это полнофункциональный PE-загрузчик, который отображает каждый раздел PE в новую область памяти с помощью NtAllocateVirtualMemory, исправляет перемещения, разрешает импорт, настраивает защиту памяти и выполняет обратные вызовы TLS. Ядро использует тот же подход к разрешению API, что и stager и loader, но отличается тем, что использует алгоритм хэширования AP для своих нужд в хэшировании.

Командно-контрольные сообщения шифруются после первоначального незашифрованного запроса GET. Протокол C2 использует сериализованную пользовательскую структуру данных, называемую контейнером, для хранения значений нескольких типов. Контейнер настроек анализируется на основе расшифрованных данных, и выполняется перечисление узлов для сбора информации о компьютере для регистрации в C2 и запросов задач. Выполнение задачи управляется полем launch_method внутри каждой задачи, и вредоносная программа поддерживает простое process INJECTION для полезных нагрузок PE. В Windows 11 24H2 и более поздних версиях разработчики CastleBot обходят проверки памяти, подключая NtManageHotPatch к памяти. Закрепление достигается путем создания запланированной задачи через COM-интерфейс ITaskService, настроенной на запуск при входе пользователя в систему.

В обновлениях за июль 2025 года появился вариант core с новым wow64_bypass для запуска 32-разрядных системных двоичных файлов из SysWOW64. Кампании, как правило, обеспечивают несколько полезных нагрузок для каждого заражения, охватывая как поставщиков информации о товарах, так и бэкдоры, такие как NetSupport и WarmCookie. WarmCookie (он же Quickbind, BadSpace) связан с более широкими экосистемами программ-вымогателей и деятельностью, представляющей общественную угрозу, связанной с TA866 /Asylum Ambuscade; WarmCookie также был связан с деятельностью эпохи Operation Endgame. Кампании Infostealer и развертывания с несколькими полезными нагрузками являются обычным явлением, причем примеры показывают встроенные основные полезные нагрузки, загружаемые из ресурсов исполняемого файла. В целом, CastleBot сигнализирует о переходе к бэкдорам в стиле MaaS и внедрению infostealer /backdoor, распространяемым с помощью троянского программного обеспечения и связанных с ним каналов распространения, что потенциально позволяет проводить высокоэффективные операции с программами-вымогателями через множество филиалов.

#ParsedReport #CompletenessLow
08-08-2025

APT Sidewinder Spoofs Government and Military Institutions to Target South Asian Countries with Credential Harvesting Techniques

https://hunt.io/blog/apt-sidewinder-netlify-government-phishing

Report completeness: Low

Victims:
Government, Military

ChatGPT TTPs:
do not use without manual check
T1566, T1583.003, T1656

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APTs Sidewinder осуществляла credential harvesting с помощью фишинга, подменяя правительственные и военные бренды, начиная с Министерства обороны Непала. Используется подключение инфраструктуры 146.70.118.226 (M247 Europe SRL, Франкфурт) с разрешением на monovm.host и webdisk.ichigotour.com , указывающий на злоупотребление общим хостингом/VPS для размещения фишинговых страниц. Позже операция распространилась на Бангладеш и Турцию, продолжая нацеливаться на правительственные и военные структуры с помощью credential harvesting.
-----

Сообщается, что APTs Sidewinder подделывает правительственные и военные учреждения с целью получения учетных данных, причем первоначальный эпизод фишинга был направлен против Министерства обороны Непала. Атрибуция взята из заявления исследователя “Demon” в Twitter, который связывает активность с группой Sidewinder и называет операцию credential harvesting, проводимой с помощью целенаправленного фишинга.

С точки зрения технической инфраструктуры, эта операция демонстрирует эффективное использование ресурсов хостинга. Наблюдаемый IP-адрес 146.70.118.226 размещен компанией M247 Europe SRL во Франкфурте (AS9009). Обратный DNS для этого IP-адреса разрешен monovm.host, VPS-провайдеру, часто подключаемому к хостингу с поддержкой анонимности или защищенному от злоупотреблений. Переадресация DNS для того же адреса преобразуется в webdisk.ichigotour.com , домен, который на первый взгляд кажется безобидным, но может быть частью неправильного использования среды общего хостинга, используемой для размещения фишинговых страниц, порталов сбора учетных данных или связанной с ними инфраструктуры.

Анализ показывает, что фишинговые приманки были применены против министерства обороны Непала в качестве вектора проникновения, а расследование впоследствии выявило сигналы домена и инфраструктуры, которые указывают на более широкую направленность. Благодаря анализу предметной области и развертыванию инфраструктуры масштабы кампании расширились до соседних стран Южной Азии и региональных объектов, в частности Бангладеш и Турции, в рамках того, что описывается как скоординированные усилия, нацеленные на правительственные и военные структуры. Основным методом остается credential harvesting с помощью фишинга, при этом акторы, вероятно, используют поддельный правительственный или военный брендинг для повышения легитимности и заманивания жертв к предоставлению учетных данных.

Подводя итог, можно сказать, что кампания, приписываемая сложной целенаправленной атаке Sidewinder, использует credential harvesting путем фишинга против правительственных и военных объектов, начиная с Министерства обороны Непала. Его инфраструктура демонстрирует распространенные методы борьбы с угрозами, такие как размещение фишинговых компонентов на потенциально уязвимых общих хостингах и VPS-сервисах, что обеспечивает гибкость домена и, возможно, позволяет избежать простых действий по удалению. География операции, по-видимому, расширилась до Бангладеш и Турции, что отражает расширяющийся масштаб деятельности по краже учетных данных, ориентированной на правительство и военных.

#ParsedReport #CompletenessLow
12-08-2025

Salesforce-Related Data Breach Affecting Multiple Companies

https://socradar.io/salesforce-data-breach-affecting-multiple-companies/

Report completeness: Low

Actors/Campaigns:
Unc6040 (motivation: financially_motivated)
Shinyhunters (motivation: financially_motivated)
0ktapus (motivation: cyber_criminal)
Lapsus
Dragonforce
Gehenna

Threats:
Pandora
Qilin_ransomware
Qtox_tool
Lockbit
Mfa_bombing_technique
Supply_chain_technique

Victims:
Technology, Retail, Luxury fashion, Aviation, Insurance, Adidas, Cartier, Google, Louis vuitton, Dior, have more...

Industry:
Retail, Government, Aerospace

Geo:
Brazil, Asia, India, Korean, Korea, Brazilian, French

ChatGPT TTPs:
do not use without manual check
T1078, T1566.004, T1621

Soft:
Office 365, Telegram, Linux

Wallets:
coinbase

Crypto:
monero, bitcoin

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания середины 2025 года была нацелена на клиентов Salesforce с помощью голосового фишинга (vishing), чтобы обманом заставить сотрудников предоставлять OAuth‑согласие на вредоносные подключенные приложения, а не использовать недостатки программного обеспечения Salesforce. Злоупотребление согласием предоставило токены OAuth и доступ на уровне API (загрузчик данных / интеграция), что позволило осуществлять перечисление учетных записей и крупномасштабную загрузку данных. Активность приписывается финансово мотивированному кластеру (Google UNC6040/ShinyHunters), который рекламировал отфильтрованные контакты / метаданные клиентов в Telegram и запрашивал Monero.
-----

Серия инцидентов середины 2025 года была нацелена на арендаторов Salesforce в нескольких крупных организациях в сфере технологий, розничной торговли, роскоши, авиации и страхования. Злоумышленники полностью полагались на социальную инженерию (голосовой фишинг/вишинг-рассылку) и неправомерное использование подключенных приложений Salesforce/согласия OAuth, а не использовали какую-либо уязвимость инфраструктуры Salesforce. Операторы выдавали себя за корпоративных ИТ-специалистов, звонили сотрудникам (в основном в англоговорящие филиалы) и проинструктировали их перейти на страницу авторизации подключенных приложений и ввести восьмизначный код для завершения шага “устранение неполадок”, в результате чего был выдан токен OAuth / согласие на использование вредоносных приложений.

Атрибуция указывает на финансово мотивированный кластер, отслеживаемый Google как UNC6040 и связанный с названием ShinyHunters; ранние сходства в ремесле (социальная инженерия на основе телефона, олицетворение службы поддержки, указание целей для авторизации приложений и обхода MFA через OAuth) заставили некоторых заподозрить Scattered Spider, и отчеты также связывают перекрывающуюся активность с Операции Telegram в стиле Lapsus$. Злоумышленники заявляли о компрометации данных десятков организаций; жертвы сообщали в основном о раскрытии контактной информации клиентов и метаданных учетной записи. Большинство организаций заявили, что пароли, номера платежных карт и особо конфиденциальные финансовые данные не были отфильтрованы.

Операционные детали включают злоупотребление разрешениями подключенных приложений для получения доступа на уровне API (загрузчик данных и другие интеграции), что позволяет выполнять крупномасштабные загрузки и перечислять учетные записи с помощью всплесков API. Акторы рекламировали базы данных в Telegram и демонстрировали кошелек Monero, указывая мотивы получения выкупа/монетизации. Рекомендуемые защитные меры подчеркивали обеспечение наименьших привилегий для подключенных приложений и клиентов API, внесение в белый список и проверку интеграций OAuth, ограничение диапазонов IP-адресов подключенных приложений и пользователей для входа в систему, усиление политик MFA против усталости / обхода согласия, а также мониторинг аномальной активности API и массового экспорта данных, указывающих на эксфильтрацию.

#ParsedReport #CompletenessMedium
11-08-2025

CVE-2025-8088: WinRAR Zero-Day Exploited in Targeted Attacks

https://socradar.io/cve-2025-8088-winrar-zero-day-exploited-targeted/

Report completeness: Medium

Actors/Campaigns:
Void_rabisu
Paper_werewolf

Threats:
Romcom_rat
Spear-phishing_technique
Com_hijacking_technique
Mythic_c2
Snipbot
Putty_tool
Rustyclaw
Meltingclaw

Victims:
Multiple sectors, Russian organizations

Industry:
Logistic

Geo:
Canada, Russian, Russia

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20107)
- microsoft windows_10_1607 (<10.0.14393.6167)
- microsoft windows_10_1809 (<10.0.17763.4737)
- microsoft windows_10_21h2 (<10.0.19044.3324)
- microsoft windows_10_22h2 (<10.0.19044.3324)
have more...
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)

CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1105, T1106, T1106, T1202, T1203, T1204.002, T1480, T1497.001, have more...

IOCs:
File: 9
Hash: 10
IP: 4
Domain: 4

Soft:
UnRAR, Microsoft Word

Algorithms:
sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4