#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CastleLoader - это модульный загрузчик вредоносных программ, который будет запущен в 2025 году и который внедряет похитителей информации и крыс по модульной цепочке. Кампании используют фишинг на тему Cloudflare с помощью ClickFix и поддельных репозиториев GitHub для доставки полезной нагрузки, причем 469 из 1634 попыток (28,7%) были нацелены на государственные структуры США. Загрузчик обеспечивает быстрое переключение полезной нагрузки для постоянной фильтрации данных и удаленного доступа, используя надежные платформы.
-----

CastleLoader - это модульный загрузчик вредоносных программ, появившийся в начале 2025 года, разработанный для доставки похитителей информации и троянов удаленного доступа (RATs) по сложной цепочке атак. По данным исследователей PRODAFT, с мая 2025 года кампании заразили 469 устройств из 1634 попыток, что составляет 28,7%, что указывает на высокий уровень эффективности использования поведения пользователей и надежных платформ. Загрузчик действует как дроппер, способный развертывать целый ряд полезных нагрузок, обеспечивая быстрое переключение между модулями для кражи информации и возможностями дистанционного управления, с заметным акцентом на нацеливание на правительственные учреждения США.

Метод кампании основан на фишинговых приманках, разработанных так, чтобы напоминать коммуникации на тему Cloudflare с помощью фишинга ClickFix и использования поддельных репозиториев GitHub для размещения и доставки полезных данных. Этот подход использует социальную инженерию и доверие к популярным платформам для облегчения первоначального доступа с последующим внедрением похитителей информации и RATs с помощью модульной платформы CastleLoader. Сочетание обманчивого брендинга, полезных нагрузок, размещенных на GitHub, и модульного механизма доставки отражает сложную цепочку атак, направленную на обеспечение постоянной фильтрации данных и удаленного доступа. Наблюдаемый уровень инфицирования и нацеленность на цели, связанные с правительством, подчеркивают стратегическую ценность и потенциальное воздействие этих кампаний на чувствительные сети.

#ParsedReport #CompletenessHigh
09-08-2025

From Bitmaps to Payloads: Echoes of TA558 in Italian-Language Campaigns

https://raw.githubusercontent.com/ShadowOpCode/From-Bitmaps-to-Payloads/main/From%20Bitmaps%20to%20Payloads.pdf

Report completeness: High

Actors/Campaigns:
Ta558
Steganoamor
Blindeagle
Sticky_werewolf
Comment_crew

Threats:
Steganography_technique
Purelogs
Remcos_rat
Ngrok_tool
Stego_loader
Purehvnc_tool
Terminator_tool
Opendir_technique

Victims:
Italy, Colombia

Geo:
Italy, Colombian, Spanish, French, Italian, Latin american, Italia, Portuguese

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.003, T1027.009, T1027.009, T1027.010, T1059.001, T1059.003, T1059.005, T1105, T1203, T1204.002, have more...

IOCs:
Url: 6
Domain: 1
IP: 4
File: 20
Path: 4
Hash: 5
Command: 1

Soft:
Microsoft Visual C++, Windows PowerShell

Algorithms:
sha256, base64

Functions:
VAI, Replace

Languages:
cscript, powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Июльский–Август 2025 Итальянская кампания malspam использует вложения invoice XLS для доставки стеганографического загрузчика на основе BMP, который использует CVE-2017-11882 для загрузки сборки .NET в память. Загрузчик считывает основную строку данных BMP, восстанавливает полезную нагрузку с длиной в меньшем порядке, загружает DLL через отражение и вызывает метод; строка с обратным base64 указывает на обратный шестнадцатеричный PE-URL с многоязычными именами переменных. TA558 является вероятным актором с инфраструктурой на 181.206.158.190; варианты связывают mshta → cmd → batch → wscript → PowerShell с ASP.NET стадия компиляции и Remcos C2.
-----

Недавняя кампания malspam на итальянском языке, наблюдавшаяся в период с июля по август 2025 года, демонстрирует стеганографический загрузчик, который сочетает использование CVE-2017-11882 с внедрением полезной нагрузки на основе .NET. Приманка использует электронные письма на тему счетов-фактур (fattura), отправляемые с адресов, звучащих на итальянском языке, с приложением XLS. Одна кампания выдает себя за Leister Technologies Italia S.r.l., при этом Excel пытается получить длинную цепочку перенаправлений после открытия файла, включая ссылку на службу сокращения. Глубже в примере код показывает контейнер на основе растровых изображений, а не тонкую steganography LSB, и наличие имен переменных итальянского происхождения, таких как “strozzapreti”, которые расшифровываются как “VAI”, намекая на географическую сигнатуру злоумышленника.

Загрузчик на основе BMP восстанавливает полезную нагрузку, загружая байты BMP в MemoryStream, перебирая каждый пиксель в порядке возрастания строк и добавляя байты красного, зеленого и синего каналов непосредственно в список. Первые четыре байта обрабатываются как 32-разрядная длина N с младшим порядком байтов, а следующие N байтов формируют фактическую полезную нагрузку - необработанные байты сборки .NET. Затем эти байты загружаются в память с помощью отражения.Сборка.Загружается, и метод внутри сборки вызывается посредством отражения. Обратная строка base64 в загрузчике декодируется в URL-адрес, содержащий PE-файл в обратном шестнадцатеричном коде. Лингвистический след загрузчика включает итальянские и французские имена переменных, а в библиотеке DLL появляются португальские термины, что указывает на многоязычность разработки и закономерность, наблюдаемую в инструментарии TA558.

Варианты кампании включают инфраструктуру, связанную с 181.206.158.190, причем первый образец нацелен на колумбийских пользователей и приводит к вредоносному JavaScript, который инициирует цепочку заражения. Схема работы соответствует методам SteganoAmor, связанным с TA558, хотя атрибуция остается неопределенной, поскольку ptsecurity отмечает, что этот TTP использовался несколькими группами, включая PhaseShifters и Blind Eagle. В другом примере запутанный VBScript запускает последовательность PowerShell; полезная нагрузка Remcos связывается с C2 по адресу updatedrvier.duckdns.org:3001, в то время как другое изображение, wp4096799-lost-in-space-wallpapers.jpg , участвует в связанной цепочке. Наблюдаемое дерево процессов начинается с mshta.exe , за которым следует cmd.exe запуск пакетного файла из Temp, conhost.exe , wscript.exe выполнение VBS из Temp, затем PowerShell с закодированными командами и завершается ASP.NET этап компиляции, связанный с “purehvnc”. Анализ приводит к выводу, что TA558 является наиболее вероятным актором, с оговорками относительно общей инфраструктуры, и подчеркивает, что технология — доставка XLS-файлов на тему счетов-фактур с steganography BMP в формате JPG, предоставляющая .NET DLL в памяти - остается основным вектором атаки. Руководство по защите сосредоточено на выявлении файлов JPG со встроенными заголовками BMP и мониторинге общедоступных файловых хостингов на предмет подозрительных загрузок, дополненных правилами IOCs и YARA в полном отчете.

#ParsedReport #CompletenessHigh
06-08-2025

Dissecting the CastleBot Malware-as-a-Service operation

https://www.ibm.com/think/x-force/dissecting-castlebot-maas-operation

Report completeness: High

Actors/Campaigns:
Hive0137
Asylum_ambuscade
Ta866

Threats:
Castlebot
Process_injection_technique
Netsupportmanager_rat
Warmcookie
Seo_poisoning_technique
Clickfix_technique
Castleloader
Sandbox_evasion_technique
Dave_loader
Stealc
Rhadamanthys
Remcos_rat
Deerstealer
Sectop_rat
Hijackloader
Shadowladder
Monster_ransomware

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053, T1055, T1071.001, T1105, T1106, T1179, T1204.002

IOCs:
Url: 24
Hash: 20
IP: 2
File: 15
Path: 1

Soft:
Instagram, Task Scheduler

Algorithms:
rc4, xor, chacha20, sha256, zip

Win API:
GetProcAddress, VirtualProtect, NtAllocateVirtualMemory, ShellExecuteW, GetUserNameW, NetBIOS, GetComputerNameW, IsWow64Process, LsaQueryInformationPolicy, GetVolumeInformationW, have more...

Languages:
autoit, powershell

Platforms:
x86

Links:
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CastleBot (2025) - это модульная система MaaS, предоставляющая средства сбора информации и бэкдоры (NetSupport, WarmCookie) с помощью троянского программного обеспечения, поддельных сайтов и олицетворений GitHub. Stager вводит шеллкод; загрузчик отображает разделы PE через NtAllocateVirtualMemory; ядро использует хэширование AP и зашифрованный C2 после первоначального получения. Июль 2025 добавляет wow64_bypass для запуска 32-разрядных двоичных файлов; кампании развертывают несколько полезных нагрузок, при этом WarmCookie привязан к TA866/Asylum Ambuscade, сигнализируя бэкдорам MaaS об активности, подобной программе-вымогателю.
-----

CastleBot - это вредоносное ПО как услуга, появившееся в начале 2025 года и с тех пор расширившееся за счет развертывания целого ряда полезных приложений, от инфокрадов до бэкдоров, таких как NetSupport и WarmCookie. Операция является модульной, состоит из трех компонентов (stager, loader и core) и, по-видимому, находится в стадии активной разработки. На его поверхности заражения преобладает троянское программное обеспечение, поставляемое через поддельные веб-сайты с SEO poisoning, репозитории GitHub, выдающие себя за законное программное обеспечение, и такие методы, как метод ClickFix.

Stager CastleBot - это облегченная полезная нагрузка шеллкода, которая может быть введена любым загрузчиком первого этапа. Он обычно используется для доставки более существенных загрузчиков и основных компонентов, с наблюдаемыми шифровальщиками, включая Dave, шифровальщик на основе AutoIt и простые шифровальщики на основе C. Загрузчик - это полнофункциональный PE-загрузчик, который отображает каждый раздел PE в новую область памяти с помощью NtAllocateVirtualMemory, исправляет перемещения, разрешает импорт, настраивает защиту памяти и выполняет обратные вызовы TLS. Ядро использует тот же подход к разрешению API, что и stager и loader, но отличается тем, что использует алгоритм хэширования AP для своих нужд в хэшировании.

Командно-контрольные сообщения шифруются после первоначального незашифрованного запроса GET. Протокол C2 использует сериализованную пользовательскую структуру данных, называемую контейнером, для хранения значений нескольких типов. Контейнер настроек анализируется на основе расшифрованных данных, и выполняется перечисление узлов для сбора информации о компьютере для регистрации в C2 и запросов задач. Выполнение задачи управляется полем launch_method внутри каждой задачи, и вредоносная программа поддерживает простое process INJECTION для полезных нагрузок PE. В Windows 11 24H2 и более поздних версиях разработчики CastleBot обходят проверки памяти, подключая NtManageHotPatch к памяти. Закрепление достигается путем создания запланированной задачи через COM-интерфейс ITaskService, настроенной на запуск при входе пользователя в систему.

В обновлениях за июль 2025 года появился вариант core с новым wow64_bypass для запуска 32-разрядных системных двоичных файлов из SysWOW64. Кампании, как правило, обеспечивают несколько полезных нагрузок для каждого заражения, охватывая как поставщиков информации о товарах, так и бэкдоры, такие как NetSupport и WarmCookie. WarmCookie (он же Quickbind, BadSpace) связан с более широкими экосистемами программ-вымогателей и деятельностью, представляющей общественную угрозу, связанной с TA866 /Asylum Ambuscade; WarmCookie также был связан с деятельностью эпохи Operation Endgame. Кампании Infostealer и развертывания с несколькими полезными нагрузками являются обычным явлением, причем примеры показывают встроенные основные полезные нагрузки, загружаемые из ресурсов исполняемого файла. В целом, CastleBot сигнализирует о переходе к бэкдорам в стиле MaaS и внедрению infostealer /backdoor, распространяемым с помощью троянского программного обеспечения и связанных с ним каналов распространения, что потенциально позволяет проводить высокоэффективные операции с программами-вымогателями через множество филиалов.

#ParsedReport #CompletenessLow
08-08-2025

APT Sidewinder Spoofs Government and Military Institutions to Target South Asian Countries with Credential Harvesting Techniques

https://hunt.io/blog/apt-sidewinder-netlify-government-phishing

Report completeness: Low

Victims:
Government, Military

ChatGPT TTPs:
do not use without manual check
T1566, T1583.003, T1656

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APTs Sidewinder осуществляла credential harvesting с помощью фишинга, подменяя правительственные и военные бренды, начиная с Министерства обороны Непала. Используется подключение инфраструктуры 146.70.118.226 (M247 Europe SRL, Франкфурт) с разрешением на monovm.host и webdisk.ichigotour.com , указывающий на злоупотребление общим хостингом/VPS для размещения фишинговых страниц. Позже операция распространилась на Бангладеш и Турцию, продолжая нацеливаться на правительственные и военные структуры с помощью credential harvesting.
-----

Сообщается, что APTs Sidewinder подделывает правительственные и военные учреждения с целью получения учетных данных, причем первоначальный эпизод фишинга был направлен против Министерства обороны Непала. Атрибуция взята из заявления исследователя “Demon” в Twitter, который связывает активность с группой Sidewinder и называет операцию credential harvesting, проводимой с помощью целенаправленного фишинга.

С точки зрения технической инфраструктуры, эта операция демонстрирует эффективное использование ресурсов хостинга. Наблюдаемый IP-адрес 146.70.118.226 размещен компанией M247 Europe SRL во Франкфурте (AS9009). Обратный DNS для этого IP-адреса разрешен monovm.host, VPS-провайдеру, часто подключаемому к хостингу с поддержкой анонимности или защищенному от злоупотреблений. Переадресация DNS для того же адреса преобразуется в webdisk.ichigotour.com , домен, который на первый взгляд кажется безобидным, но может быть частью неправильного использования среды общего хостинга, используемой для размещения фишинговых страниц, порталов сбора учетных данных или связанной с ними инфраструктуры.

Анализ показывает, что фишинговые приманки были применены против министерства обороны Непала в качестве вектора проникновения, а расследование впоследствии выявило сигналы домена и инфраструктуры, которые указывают на более широкую направленность. Благодаря анализу предметной области и развертыванию инфраструктуры масштабы кампании расширились до соседних стран Южной Азии и региональных объектов, в частности Бангладеш и Турции, в рамках того, что описывается как скоординированные усилия, нацеленные на правительственные и военные структуры. Основным методом остается credential harvesting с помощью фишинга, при этом акторы, вероятно, используют поддельный правительственный или военный брендинг для повышения легитимности и заманивания жертв к предоставлению учетных данных.

Подводя итог, можно сказать, что кампания, приписываемая сложной целенаправленной атаке Sidewinder, использует credential harvesting путем фишинга против правительственных и военных объектов, начиная с Министерства обороны Непала. Его инфраструктура демонстрирует распространенные методы борьбы с угрозами, такие как размещение фишинговых компонентов на потенциально уязвимых общих хостингах и VPS-сервисах, что обеспечивает гибкость домена и, возможно, позволяет избежать простых действий по удалению. География операции, по-видимому, расширилась до Бангладеш и Турции, что отражает расширяющийся масштаб деятельности по краже учетных данных, ориентированной на правительство и военных.

#ParsedReport #CompletenessLow
12-08-2025

Salesforce-Related Data Breach Affecting Multiple Companies

https://socradar.io/salesforce-data-breach-affecting-multiple-companies/

Report completeness: Low

Actors/Campaigns:
Unc6040 (motivation: financially_motivated)
Shinyhunters (motivation: financially_motivated)
0ktapus (motivation: cyber_criminal)
Lapsus
Dragonforce
Gehenna

Threats:
Pandora
Qilin_ransomware
Qtox_tool
Lockbit
Mfa_bombing_technique
Supply_chain_technique

Victims:
Technology, Retail, Luxury fashion, Aviation, Insurance, Adidas, Cartier, Google, Louis vuitton, Dior, have more...

Industry:
Retail, Government, Aerospace

Geo:
Brazil, Asia, India, Korean, Korea, Brazilian, French

ChatGPT TTPs:
do not use without manual check
T1078, T1566.004, T1621

Soft:
Office 365, Telegram, Linux

Wallets:
coinbase

Crypto:
monero, bitcoin

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания середины 2025 года была нацелена на клиентов Salesforce с помощью голосового фишинга (vishing), чтобы обманом заставить сотрудников предоставлять OAuth‑согласие на вредоносные подключенные приложения, а не использовать недостатки программного обеспечения Salesforce. Злоупотребление согласием предоставило токены OAuth и доступ на уровне API (загрузчик данных / интеграция), что позволило осуществлять перечисление учетных записей и крупномасштабную загрузку данных. Активность приписывается финансово мотивированному кластеру (Google UNC6040/ShinyHunters), который рекламировал отфильтрованные контакты / метаданные клиентов в Telegram и запрашивал Monero.
-----

Серия инцидентов середины 2025 года была нацелена на арендаторов Salesforce в нескольких крупных организациях в сфере технологий, розничной торговли, роскоши, авиации и страхования. Злоумышленники полностью полагались на социальную инженерию (голосовой фишинг/вишинг-рассылку) и неправомерное использование подключенных приложений Salesforce/согласия OAuth, а не использовали какую-либо уязвимость инфраструктуры Salesforce. Операторы выдавали себя за корпоративных ИТ-специалистов, звонили сотрудникам (в основном в англоговорящие филиалы) и проинструктировали их перейти на страницу авторизации подключенных приложений и ввести восьмизначный код для завершения шага “устранение неполадок”, в результате чего был выдан токен OAuth / согласие на использование вредоносных приложений.

Атрибуция указывает на финансово мотивированный кластер, отслеживаемый Google как UNC6040 и связанный с названием ShinyHunters; ранние сходства в ремесле (социальная инженерия на основе телефона, олицетворение службы поддержки, указание целей для авторизации приложений и обхода MFA через OAuth) заставили некоторых заподозрить Scattered Spider, и отчеты также связывают перекрывающуюся активность с Операции Telegram в стиле Lapsus$. Злоумышленники заявляли о компрометации данных десятков организаций; жертвы сообщали в основном о раскрытии контактной информации клиентов и метаданных учетной записи. Большинство организаций заявили, что пароли, номера платежных карт и особо конфиденциальные финансовые данные не были отфильтрованы.

Операционные детали включают злоупотребление разрешениями подключенных приложений для получения доступа на уровне API (загрузчик данных и другие интеграции), что позволяет выполнять крупномасштабные загрузки и перечислять учетные записи с помощью всплесков API. Акторы рекламировали базы данных в Telegram и демонстрировали кошелек Monero, указывая мотивы получения выкупа/монетизации. Рекомендуемые защитные меры подчеркивали обеспечение наименьших привилегий для подключенных приложений и клиентов API, внесение в белый список и проверку интеграций OAuth, ограничение диапазонов IP-адресов подключенных приложений и пользователей для входа в систему, усиление политик MFA против усталости / обхода согласия, а также мониторинг аномальной активности API и массового экспорта данных, указывающих на эксфильтрацию.

#ParsedReport #CompletenessMedium
11-08-2025

CVE-2025-8088: WinRAR Zero-Day Exploited in Targeted Attacks

https://socradar.io/cve-2025-8088-winrar-zero-day-exploited-targeted/

Report completeness: Medium

Actors/Campaigns:
Void_rabisu
Paper_werewolf

Threats:
Romcom_rat
Spear-phishing_technique
Com_hijacking_technique
Mythic_c2
Snipbot
Putty_tool
Rustyclaw
Meltingclaw

Victims:
Multiple sectors, Russian organizations

Industry:
Logistic

Geo:
Canada, Russian, Russia

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20107)
- microsoft windows_10_1607 (<10.0.14393.6167)
- microsoft windows_10_1809 (<10.0.17763.4737)
- microsoft windows_10_21h2 (<10.0.19044.3324)
- microsoft windows_10_22h2 (<10.0.19044.3324)
have more...
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)

CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1105, T1106, T1106, T1202, T1203, T1204.002, T1480, T1497.001, have more...

IOCs:
File: 9
Hash: 10
IP: 4
Domain: 4

Soft:
UnRAR, Microsoft Word

Algorithms:
sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE‑2025‑8088 ‑ это path-traversal WinRAR/UnRAR zero‑day, использующая альтернативные потоки данных NTFS для удаления файлов за пределы путей извлечения. ESET приписывает активную эксплуатацию RomCom (Storm‑0978/UNC2596) и BI.ЗОНА для Paper Werewolf; кампании сочетали это с CVE‑2025‑6218, и эксплойты обменивались. Наблюдаемые цепочки: Mythic Agent (.lnk→DLL, захват COM PSFactoryBuffer, шеллкод→C2); SnipBot (троянская PuTTY ApbxHelper.exe с проверками на защиту от "песочницы"); RustyClaw/MeltingClaw (Complaint.exe загрузчик, извлекающий модули).
-----

CVE-2025-8088 - это path traversal zero-day в WinRAR (CVSS 8.4), который влияет на сборки Windows до версии 7.12 включительно и связанные с ними компоненты, такие как UnRAR.dll и его портативный источник. Основная причина заключается в неправильной обработке альтернативных потоков данных NTFS (ADSES) в созданных архивах: архив может представлять пользователю один файл, выглядящий безобидно, в то же время встраивая несколько записей ADS, некоторые из которых содержат реальную полезную нагрузку, а другие - фиктивные данные, чтобы запутать обнаружение и извлечение. Успешная эксплуатация может привести к записи файлов вне намеченных путей извлечения.

ESET приписывает активную эксплуатацию российскому кластеру RomCom (также отслеживаемому как Storm-0978 / Tropical Scorpius / UNC2596) и BI.ZONE сообщила о дополнительном использовании актором, отслеживаемым как Paper Werewolf, который, как сообщается, объединил CVE-2025-8088 с CVE-2025-6218 в фишинговых кампаниях против российских объектов. Есть сообщения о том, что эксплойт продавался на криминальных форумах.

Тремя основными цепочками выполнения, наблюдаемыми в кампаниях, использующих этот недостаток WinRAR, являются: (1) цепочка Mythic агентов, в которой вредоносный .lnk загружает библиотеку DLL в %TEMP%, злоумышленники перехватывают регистрацию COM PSFactoryBuffer с помощью манипуляций с реестром, чтобы загрузить эту библиотеку DLL, библиотека DLL расшифровывает и выполняет встроенный шеллкод, а имплантат подключается к инфраструктуре C2 с помощью логики таргетинга на основе домена; (2) вариант SnipBot, в котором .lnk запускает троянскую программу PuTTY CAC. двоичный код (ApbxHelper.exe ), который выполняет проверку "анти-песочницы" (включая проверку активности последних документов) перед извлечением и выполнением вторичных полезных нагрузок с серверов, контролируемых злоумышленником; и (3) цепочки развертывания RustyClaw и загрузчика MeltingClaw, где запускается выполнение .lnk Complaint.exe (RustyClaw), который извлекает дополнительные вредоносные программы и использует отдельную инфраструктуру C2 для модульного управления.

Использование уязвимости подтверждает, что архивные утилиты могут быть использованы для первоначального доступа и скрытой доставки полезной нагрузки, а также подчеркивает необходимость исправления установок UnRAR/WinRAR и мониторинга на предмет COM hijacking, аномального.поведение lnk и неожиданное извлечение содержимого рекламы.

#ParsedReport #CompletenessLow
11-08-2025

Keys to the Kingdom: Erlang/OTP SSH Vulnerability Analysis and Exploits Observed in the Wild

https://unit42.paloaltonetworks.com/erlang-otp-cve-2025-32433/

Report completeness: Low

Victims:
Operational technology networks, Critical infrastructure

Industry:
Entertainment, Critical_infrastructure, Telco, Energy, Healthcare, Foodtech, Ics, Education, Retail, Aerospace

Geo:
India, Asia, Ecuador, Netherlands, American, Brazil, France, Middle east, Japan, Australia, America, Ireland

CVEs:
CVE-2025-32433 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- erlang erlang\/otp (<25.3.2.20, <26.2.5.11, <27.3.3)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1046, T1190, T1210

IOCs:
IP: 3
Domain: 4

Win API:
gethostbyname

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-32433 - это no-auth RCE в Erlang/OTP sshd: неправильная обработка состояния позволяет обрабатывать сообщения после аутентификации до завершения аутентификации; уязвимые сборки используются в телекоммуникационных и промышленных системах. Наблюдалась эксплуатация после раскрытия информации (275 хостов, 326 служб; концентрация в США, Бразилии, Франции) в ходе бурных кампаний, ориентированных на OT. Полезные нагрузки выдают длинные случайные обратные вызовы DNS для dns.outbound.watchtowr[.\]com, предполагающий оппортунистическую эксплуатацию и перемещение внутри компании в сторону OT.
-----

CVE-2025-32433 - это уязвимость, связанная с удаленным выполнением кода без проверки подлинности в реализации SSH-демона (sshd) на Erlang/OTP. Основной причиной является неправильное использование состояния: демон не может отклонить сообщения после проверки подлинности до завершения проверки подлинности, что позволяет обрабатывать сообщения, отправленные злоумышленником, что может привести к выполнению кода. Уязвимыми объектами являются экземпляры sshd, созданные на основе определенных версий Erlang/OTP, используемых в телекоммуникационных и промышленных системах.

Телеметрия показывает активные попытки взлома, начавшиеся после публичного раскрытия (уязвимость была опубликована 16 апреля 2025 г.; самые ранние попытки взлома были зафиксированы 1 мая 2025 г.). Датчики обнаружили активность эксплойтов в нескольких отраслях и географических регионах. Сканирование общедоступного Интернета в период с 16 апреля по 9 мая 2025 года выявило 275 различных хостингов и 326 сервисов Erlang/OTP, доступных из Интернета, с наибольшей концентрацией в Соединенных Штатах, Бразилии и Франции.

Анализ полезной нагрузки и телеметрия DNS указывают на то, что злоумышленники выполняют обратные вызовы DNS, используя длинные, случайно сгенерированные поддомены под dns.outbound.watchtowr[.\]com, совместимый с оппортунистической эксплуатацией, которая устанавливает внеполосное подтверждение или управление. Попытки эксплойта проявляются в виде концентрированных всплесков, а не постоянных кампаний, и пик активности сильно смещен в сторону сред операционных технологий (OT). Анализ на страновом уровне показывает чрезвычайно высокую корреляцию OT для триггеров сигнатур в нескольких странах (Япония \~99,7% от; Нидерланды, Ирландия, Бразилия, Эквадор - 100% ОТ; США - 71,15% от, но при наблюдении 1916 сигнатур, инициированных OT).

Наблюдаемые схемы работы предполагают, что злоумышленники могут использовать скомпрометированные корпоративные точки опоры и перемещения внутри компании для доступа к периферийным устройствам и брандмауэрам OT, а затем предпринимать попытки эксплуатации внутри корпоративных сетей для доступа к системам OT. Сочетание незащищенных экземпляров Erlang/OTP sshd и всплесков обнаружения со смещением OT увеличивает риск для критически важной инфраструктуры, в которой развернуты эти среды выполнения.