#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CastleBot (2025) - это модульная система MaaS, предоставляющая средства сбора информации и бэкдоры (NetSupport, WarmCookie) с помощью троянского программного обеспечения, поддельных сайтов и олицетворений GitHub. Stager вводит шеллкод; загрузчик отображает разделы PE через NtAllocateVirtualMemory; ядро использует хэширование AP и зашифрованный C2 после первоначального получения. Июль 2025 добавляет wow64_bypass для запуска 32-разрядных двоичных файлов; кампании развертывают несколько полезных нагрузок, при этом WarmCookie привязан к TA866/Asylum Ambuscade, сигнализируя бэкдорам MaaS об активности, подобной программе-вымогателю.
-----

CastleBot - это вредоносное ПО как услуга, появившееся в начале 2025 года и с тех пор расширившееся за счет развертывания целого ряда полезных приложений, от инфокрадов до бэкдоров, таких как NetSupport и WarmCookie. Операция является модульной, состоит из трех компонентов (stager, loader и core) и, по-видимому, находится в стадии активной разработки. На его поверхности заражения преобладает троянское программное обеспечение, поставляемое через поддельные веб-сайты с SEO poisoning, репозитории GitHub, выдающие себя за законное программное обеспечение, и такие методы, как метод ClickFix.

Stager CastleBot - это облегченная полезная нагрузка шеллкода, которая может быть введена любым загрузчиком первого этапа. Он обычно используется для доставки более существенных загрузчиков и основных компонентов, с наблюдаемыми шифровальщиками, включая Dave, шифровальщик на основе AutoIt и простые шифровальщики на основе C. Загрузчик - это полнофункциональный PE-загрузчик, который отображает каждый раздел PE в новую область памяти с помощью NtAllocateVirtualMemory, исправляет перемещения, разрешает импорт, настраивает защиту памяти и выполняет обратные вызовы TLS. Ядро использует тот же подход к разрешению API, что и stager и loader, но отличается тем, что использует алгоритм хэширования AP для своих нужд в хэшировании.

Командно-контрольные сообщения шифруются после первоначального незашифрованного запроса GET. Протокол C2 использует сериализованную пользовательскую структуру данных, называемую контейнером, для хранения значений нескольких типов. Контейнер настроек анализируется на основе расшифрованных данных, и выполняется перечисление узлов для сбора информации о компьютере для регистрации в C2 и запросов задач. Выполнение задачи управляется полем launch_method внутри каждой задачи, и вредоносная программа поддерживает простое process INJECTION для полезных нагрузок PE. В Windows 11 24H2 и более поздних версиях разработчики CastleBot обходят проверки памяти, подключая NtManageHotPatch к памяти. Закрепление достигается путем создания запланированной задачи через COM-интерфейс ITaskService, настроенной на запуск при входе пользователя в систему.

В обновлениях за июль 2025 года появился вариант core с новым wow64_bypass для запуска 32-разрядных системных двоичных файлов из SysWOW64. Кампании, как правило, обеспечивают несколько полезных нагрузок для каждого заражения, охватывая как поставщиков информации о товарах, так и бэкдоры, такие как NetSupport и WarmCookie. WarmCookie (он же Quickbind, BadSpace) связан с более широкими экосистемами программ-вымогателей и деятельностью, представляющей общественную угрозу, связанной с TA866 /Asylum Ambuscade; WarmCookie также был связан с деятельностью эпохи Operation Endgame. Кампании Infostealer и развертывания с несколькими полезными нагрузками являются обычным явлением, причем примеры показывают встроенные основные полезные нагрузки, загружаемые из ресурсов исполняемого файла. В целом, CastleBot сигнализирует о переходе к бэкдорам в стиле MaaS и внедрению infostealer /backdoor, распространяемым с помощью троянского программного обеспечения и связанных с ним каналов распространения, что потенциально позволяет проводить высокоэффективные операции с программами-вымогателями через множество филиалов.

#ParsedReport #CompletenessLow
08-08-2025

APT Sidewinder Spoofs Government and Military Institutions to Target South Asian Countries with Credential Harvesting Techniques

https://hunt.io/blog/apt-sidewinder-netlify-government-phishing

Report completeness: Low

Victims:
Government, Military

ChatGPT TTPs:
do not use without manual check
T1566, T1583.003, T1656

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APTs Sidewinder осуществляла credential harvesting с помощью фишинга, подменяя правительственные и военные бренды, начиная с Министерства обороны Непала. Используется подключение инфраструктуры 146.70.118.226 (M247 Europe SRL, Франкфурт) с разрешением на monovm.host и webdisk.ichigotour.com , указывающий на злоупотребление общим хостингом/VPS для размещения фишинговых страниц. Позже операция распространилась на Бангладеш и Турцию, продолжая нацеливаться на правительственные и военные структуры с помощью credential harvesting.
-----

Сообщается, что APTs Sidewinder подделывает правительственные и военные учреждения с целью получения учетных данных, причем первоначальный эпизод фишинга был направлен против Министерства обороны Непала. Атрибуция взята из заявления исследователя “Demon” в Twitter, который связывает активность с группой Sidewinder и называет операцию credential harvesting, проводимой с помощью целенаправленного фишинга.

С точки зрения технической инфраструктуры, эта операция демонстрирует эффективное использование ресурсов хостинга. Наблюдаемый IP-адрес 146.70.118.226 размещен компанией M247 Europe SRL во Франкфурте (AS9009). Обратный DNS для этого IP-адреса разрешен monovm.host, VPS-провайдеру, часто подключаемому к хостингу с поддержкой анонимности или защищенному от злоупотреблений. Переадресация DNS для того же адреса преобразуется в webdisk.ichigotour.com , домен, который на первый взгляд кажется безобидным, но может быть частью неправильного использования среды общего хостинга, используемой для размещения фишинговых страниц, порталов сбора учетных данных или связанной с ними инфраструктуры.

Анализ показывает, что фишинговые приманки были применены против министерства обороны Непала в качестве вектора проникновения, а расследование впоследствии выявило сигналы домена и инфраструктуры, которые указывают на более широкую направленность. Благодаря анализу предметной области и развертыванию инфраструктуры масштабы кампании расширились до соседних стран Южной Азии и региональных объектов, в частности Бангладеш и Турции, в рамках того, что описывается как скоординированные усилия, нацеленные на правительственные и военные структуры. Основным методом остается credential harvesting с помощью фишинга, при этом акторы, вероятно, используют поддельный правительственный или военный брендинг для повышения легитимности и заманивания жертв к предоставлению учетных данных.

Подводя итог, можно сказать, что кампания, приписываемая сложной целенаправленной атаке Sidewinder, использует credential harvesting путем фишинга против правительственных и военных объектов, начиная с Министерства обороны Непала. Его инфраструктура демонстрирует распространенные методы борьбы с угрозами, такие как размещение фишинговых компонентов на потенциально уязвимых общих хостингах и VPS-сервисах, что обеспечивает гибкость домена и, возможно, позволяет избежать простых действий по удалению. География операции, по-видимому, расширилась до Бангладеш и Турции, что отражает расширяющийся масштаб деятельности по краже учетных данных, ориентированной на правительство и военных.

#ParsedReport #CompletenessLow
12-08-2025

Salesforce-Related Data Breach Affecting Multiple Companies

https://socradar.io/salesforce-data-breach-affecting-multiple-companies/

Report completeness: Low

Actors/Campaigns:
Unc6040 (motivation: financially_motivated)
Shinyhunters (motivation: financially_motivated)
0ktapus (motivation: cyber_criminal)
Lapsus
Dragonforce
Gehenna

Threats:
Pandora
Qilin_ransomware
Qtox_tool
Lockbit
Mfa_bombing_technique
Supply_chain_technique

Victims:
Technology, Retail, Luxury fashion, Aviation, Insurance, Adidas, Cartier, Google, Louis vuitton, Dior, have more...

Industry:
Retail, Government, Aerospace

Geo:
Brazil, Asia, India, Korean, Korea, Brazilian, French

ChatGPT TTPs:
do not use without manual check
T1078, T1566.004, T1621

Soft:
Office 365, Telegram, Linux

Wallets:
coinbase

Crypto:
monero, bitcoin

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания середины 2025 года была нацелена на клиентов Salesforce с помощью голосового фишинга (vishing), чтобы обманом заставить сотрудников предоставлять OAuth‑согласие на вредоносные подключенные приложения, а не использовать недостатки программного обеспечения Salesforce. Злоупотребление согласием предоставило токены OAuth и доступ на уровне API (загрузчик данных / интеграция), что позволило осуществлять перечисление учетных записей и крупномасштабную загрузку данных. Активность приписывается финансово мотивированному кластеру (Google UNC6040/ShinyHunters), который рекламировал отфильтрованные контакты / метаданные клиентов в Telegram и запрашивал Monero.
-----

Серия инцидентов середины 2025 года была нацелена на арендаторов Salesforce в нескольких крупных организациях в сфере технологий, розничной торговли, роскоши, авиации и страхования. Злоумышленники полностью полагались на социальную инженерию (голосовой фишинг/вишинг-рассылку) и неправомерное использование подключенных приложений Salesforce/согласия OAuth, а не использовали какую-либо уязвимость инфраструктуры Salesforce. Операторы выдавали себя за корпоративных ИТ-специалистов, звонили сотрудникам (в основном в англоговорящие филиалы) и проинструктировали их перейти на страницу авторизации подключенных приложений и ввести восьмизначный код для завершения шага “устранение неполадок”, в результате чего был выдан токен OAuth / согласие на использование вредоносных приложений.

Атрибуция указывает на финансово мотивированный кластер, отслеживаемый Google как UNC6040 и связанный с названием ShinyHunters; ранние сходства в ремесле (социальная инженерия на основе телефона, олицетворение службы поддержки, указание целей для авторизации приложений и обхода MFA через OAuth) заставили некоторых заподозрить Scattered Spider, и отчеты также связывают перекрывающуюся активность с Операции Telegram в стиле Lapsus$. Злоумышленники заявляли о компрометации данных десятков организаций; жертвы сообщали в основном о раскрытии контактной информации клиентов и метаданных учетной записи. Большинство организаций заявили, что пароли, номера платежных карт и особо конфиденциальные финансовые данные не были отфильтрованы.

Операционные детали включают злоупотребление разрешениями подключенных приложений для получения доступа на уровне API (загрузчик данных и другие интеграции), что позволяет выполнять крупномасштабные загрузки и перечислять учетные записи с помощью всплесков API. Акторы рекламировали базы данных в Telegram и демонстрировали кошелек Monero, указывая мотивы получения выкупа/монетизации. Рекомендуемые защитные меры подчеркивали обеспечение наименьших привилегий для подключенных приложений и клиентов API, внесение в белый список и проверку интеграций OAuth, ограничение диапазонов IP-адресов подключенных приложений и пользователей для входа в систему, усиление политик MFA против усталости / обхода согласия, а также мониторинг аномальной активности API и массового экспорта данных, указывающих на эксфильтрацию.

#ParsedReport #CompletenessMedium
11-08-2025

CVE-2025-8088: WinRAR Zero-Day Exploited in Targeted Attacks

https://socradar.io/cve-2025-8088-winrar-zero-day-exploited-targeted/

Report completeness: Medium

Actors/Campaigns:
Void_rabisu
Paper_werewolf

Threats:
Romcom_rat
Spear-phishing_technique
Com_hijacking_technique
Mythic_c2
Snipbot
Putty_tool
Rustyclaw
Meltingclaw

Victims:
Multiple sectors, Russian organizations

Industry:
Logistic

Geo:
Canada, Russian, Russia

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20107)
- microsoft windows_10_1607 (<10.0.14393.6167)
- microsoft windows_10_1809 (<10.0.17763.4737)
- microsoft windows_10_21h2 (<10.0.19044.3324)
- microsoft windows_10_22h2 (<10.0.19044.3324)
have more...
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)

CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1105, T1106, T1106, T1202, T1203, T1204.002, T1480, T1497.001, have more...

IOCs:
File: 9
Hash: 10
IP: 4
Domain: 4

Soft:
UnRAR, Microsoft Word

Algorithms:
sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE‑2025‑8088 ‑ это path-traversal WinRAR/UnRAR zero‑day, использующая альтернативные потоки данных NTFS для удаления файлов за пределы путей извлечения. ESET приписывает активную эксплуатацию RomCom (Storm‑0978/UNC2596) и BI.ЗОНА для Paper Werewolf; кампании сочетали это с CVE‑2025‑6218, и эксплойты обменивались. Наблюдаемые цепочки: Mythic Agent (.lnk→DLL, захват COM PSFactoryBuffer, шеллкод→C2); SnipBot (троянская PuTTY ApbxHelper.exe с проверками на защиту от "песочницы"); RustyClaw/MeltingClaw (Complaint.exe загрузчик, извлекающий модули).
-----

CVE-2025-8088 - это path traversal zero-day в WinRAR (CVSS 8.4), который влияет на сборки Windows до версии 7.12 включительно и связанные с ними компоненты, такие как UnRAR.dll и его портативный источник. Основная причина заключается в неправильной обработке альтернативных потоков данных NTFS (ADSES) в созданных архивах: архив может представлять пользователю один файл, выглядящий безобидно, в то же время встраивая несколько записей ADS, некоторые из которых содержат реальную полезную нагрузку, а другие - фиктивные данные, чтобы запутать обнаружение и извлечение. Успешная эксплуатация может привести к записи файлов вне намеченных путей извлечения.

ESET приписывает активную эксплуатацию российскому кластеру RomCom (также отслеживаемому как Storm-0978 / Tropical Scorpius / UNC2596) и BI.ZONE сообщила о дополнительном использовании актором, отслеживаемым как Paper Werewolf, который, как сообщается, объединил CVE-2025-8088 с CVE-2025-6218 в фишинговых кампаниях против российских объектов. Есть сообщения о том, что эксплойт продавался на криминальных форумах.

Тремя основными цепочками выполнения, наблюдаемыми в кампаниях, использующих этот недостаток WinRAR, являются: (1) цепочка Mythic агентов, в которой вредоносный .lnk загружает библиотеку DLL в %TEMP%, злоумышленники перехватывают регистрацию COM PSFactoryBuffer с помощью манипуляций с реестром, чтобы загрузить эту библиотеку DLL, библиотека DLL расшифровывает и выполняет встроенный шеллкод, а имплантат подключается к инфраструктуре C2 с помощью логики таргетинга на основе домена; (2) вариант SnipBot, в котором .lnk запускает троянскую программу PuTTY CAC. двоичный код (ApbxHelper.exe ), который выполняет проверку "анти-песочницы" (включая проверку активности последних документов) перед извлечением и выполнением вторичных полезных нагрузок с серверов, контролируемых злоумышленником; и (3) цепочки развертывания RustyClaw и загрузчика MeltingClaw, где запускается выполнение .lnk Complaint.exe (RustyClaw), который извлекает дополнительные вредоносные программы и использует отдельную инфраструктуру C2 для модульного управления.

Использование уязвимости подтверждает, что архивные утилиты могут быть использованы для первоначального доступа и скрытой доставки полезной нагрузки, а также подчеркивает необходимость исправления установок UnRAR/WinRAR и мониторинга на предмет COM hijacking, аномального.поведение lnk и неожиданное извлечение содержимого рекламы.

#ParsedReport #CompletenessLow
11-08-2025

Keys to the Kingdom: Erlang/OTP SSH Vulnerability Analysis and Exploits Observed in the Wild

https://unit42.paloaltonetworks.com/erlang-otp-cve-2025-32433/

Report completeness: Low

Victims:
Operational technology networks, Critical infrastructure

Industry:
Entertainment, Critical_infrastructure, Telco, Energy, Healthcare, Foodtech, Ics, Education, Retail, Aerospace

Geo:
India, Asia, Ecuador, Netherlands, American, Brazil, France, Middle east, Japan, Australia, America, Ireland

CVEs:
CVE-2025-32433 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- erlang erlang\/otp (<25.3.2.20, <26.2.5.11, <27.3.3)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1046, T1190, T1210

IOCs:
IP: 3
Domain: 4

Win API:
gethostbyname

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-32433 - это no-auth RCE в Erlang/OTP sshd: неправильная обработка состояния позволяет обрабатывать сообщения после аутентификации до завершения аутентификации; уязвимые сборки используются в телекоммуникационных и промышленных системах. Наблюдалась эксплуатация после раскрытия информации (275 хостов, 326 служб; концентрация в США, Бразилии, Франции) в ходе бурных кампаний, ориентированных на OT. Полезные нагрузки выдают длинные случайные обратные вызовы DNS для dns.outbound.watchtowr[.\]com, предполагающий оппортунистическую эксплуатацию и перемещение внутри компании в сторону OT.
-----

CVE-2025-32433 - это уязвимость, связанная с удаленным выполнением кода без проверки подлинности в реализации SSH-демона (sshd) на Erlang/OTP. Основной причиной является неправильное использование состояния: демон не может отклонить сообщения после проверки подлинности до завершения проверки подлинности, что позволяет обрабатывать сообщения, отправленные злоумышленником, что может привести к выполнению кода. Уязвимыми объектами являются экземпляры sshd, созданные на основе определенных версий Erlang/OTP, используемых в телекоммуникационных и промышленных системах.

Телеметрия показывает активные попытки взлома, начавшиеся после публичного раскрытия (уязвимость была опубликована 16 апреля 2025 г.; самые ранние попытки взлома были зафиксированы 1 мая 2025 г.). Датчики обнаружили активность эксплойтов в нескольких отраслях и географических регионах. Сканирование общедоступного Интернета в период с 16 апреля по 9 мая 2025 года выявило 275 различных хостингов и 326 сервисов Erlang/OTP, доступных из Интернета, с наибольшей концентрацией в Соединенных Штатах, Бразилии и Франции.

Анализ полезной нагрузки и телеметрия DNS указывают на то, что злоумышленники выполняют обратные вызовы DNS, используя длинные, случайно сгенерированные поддомены под dns.outbound.watchtowr[.\]com, совместимый с оппортунистической эксплуатацией, которая устанавливает внеполосное подтверждение или управление. Попытки эксплойта проявляются в виде концентрированных всплесков, а не постоянных кампаний, и пик активности сильно смещен в сторону сред операционных технологий (OT). Анализ на страновом уровне показывает чрезвычайно высокую корреляцию OT для триггеров сигнатур в нескольких странах (Япония \~99,7% от; Нидерланды, Ирландия, Бразилия, Эквадор - 100% ОТ; США - 71,15% от, но при наблюдении 1916 сигнатур, инициированных OT).

Наблюдаемые схемы работы предполагают, что злоумышленники могут использовать скомпрометированные корпоративные точки опоры и перемещения внутри компании для доступа к периферийным устройствам и брандмауэрам OT, а затем предпринимать попытки эксплуатации внутри корпоративных сетей для доступа к системам OT. Сочетание незащищенных экземпляров Erlang/OTP sshd и всплесков обнаружения со смещением OT увеличивает риск для критически важной инфраструктуры, в которой развернуты эти среды выполнения.

Слив внутренних данных Kimsuky
https://data.ddosecrets.com/APT%20Down%20-%20The%20North%20Korea%20Files/

#ParsedReport #CompletenessLow
12-08-2025

Detecting Linux PAM Exploit Malware Attacks Using AhnLab EDR

https://asec.ahnlab.com/ko/89515/

Report completeness: Low

Threats:
Plague

TTPs:

ChatGPT TTPs:
do not use without manual check
T1056.004, T1574.006

IOCs:
File: 1
Hash: 5
Url: 2

Soft:
Linux, sudo, OpenSSH

Algorithms:
md5

Functions:
pam_authenticate, pam_sm_authenticate

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PAM централизует аутентификацию с помощью libpam; компрометация пути его выполнения приводит к предоставлению учетных данных для разных служб. Plague (август 2025) использует предварительную загрузку динамического загрузчика (например, LD_PRELOAD) для ввода общего объекта и перехвата pam_authenticate(), получая учетные данные из sshd и других процессов, использующих PAM. Он использует вставку библиотеки времени выполнения вместо установки модуля PAM для подрыва потоков аутентификации.
-----

Подключаемые модули аутентификации (PAM) - это модульная платформа, используемая Unix-подобными системами для централизации аутентификации в таких приложениях, как su, sudo и sshd. Приложения обращаются к библиотеке libpam, которая загружает и выполняет настроенные модули PAM и агрегирует их результаты для обеспечения соблюдения политик аутентификации. Поскольку аутентификация делегирована libpam, нарушение пути выполнения PAM может привести к раскрытию учетных данных, используемых многими службами.

Описанное вредоносное ПО, получившее название "Plague" в отчете за август 2025 года, злоупотребляет предварительной загрузкой динамического загрузчика для перехвата вызовов аутентификации PAM. Вместо установки законного модуля PAM, Plague использует метод предварительной загрузки (обычно LD_PRELOAD), чтобы внедрить общий объект в адресное пространство целевых процессов и подключить функцию pam_authenticate(). Подключив функцию pam_authenticate(), вредоносное ПО может перехватывать учетные данные, предоставляемые таким службам, как sshd, и другим процессам, использующим PAM, без регистрации в качестве модуля PAM. Этот метод основан на внедрении библиотеки времени выполнения для загрузки вредоносного кода в запущенные процессы и нарушения потоков аутентификации, что позволяет осуществлять кражу учетных данных в нескольких службах, которые полагаются на libpam.

#ParsedReport #CompletenessMedium
12-08-2025

Detecting LodaRAT malware with Wazuh

https://wazuh.com/blog/detecting-lodarat-malware-with-wazuh/

Report completeness: Medium

Threats:
Lodarat
Process_injection_technique

TTPs:

IOCs:
Path: 4
Hash: 2
File: 37

Soft:
Sysinternals, Pyinstaller

Algorithms:
sha256

Functions:
message

Languages:
python, powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4