#ParsedReport #CompletenessLow
11-08-2025

Keys to the Kingdom: Erlang/OTP SSH Vulnerability Analysis and Exploits Observed in the Wild

https://unit42.paloaltonetworks.com/erlang-otp-cve-2025-32433/

Report completeness: Low

Victims:
Operational technology networks, Critical infrastructure

Industry:
Entertainment, Critical_infrastructure, Telco, Energy, Healthcare, Foodtech, Ics, Education, Retail, Aerospace

Geo:
India, Asia, Ecuador, Netherlands, American, Brazil, France, Middle east, Japan, Australia, America, Ireland

CVEs:
CVE-2025-32433 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- erlang erlang\/otp (<25.3.2.20, <26.2.5.11, <27.3.3)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1046, T1190, T1210

IOCs:
IP: 3
Domain: 4

Win API:
gethostbyname

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-32433 - это no-auth RCE в Erlang/OTP sshd: неправильная обработка состояния позволяет обрабатывать сообщения после аутентификации до завершения аутентификации; уязвимые сборки используются в телекоммуникационных и промышленных системах. Наблюдалась эксплуатация после раскрытия информации (275 хостов, 326 служб; концентрация в США, Бразилии, Франции) в ходе бурных кампаний, ориентированных на OT. Полезные нагрузки выдают длинные случайные обратные вызовы DNS для dns.outbound.watchtowr[.\]com, предполагающий оппортунистическую эксплуатацию и перемещение внутри компании в сторону OT.
-----

CVE-2025-32433 - это уязвимость, связанная с удаленным выполнением кода без проверки подлинности в реализации SSH-демона (sshd) на Erlang/OTP. Основной причиной является неправильное использование состояния: демон не может отклонить сообщения после проверки подлинности до завершения проверки подлинности, что позволяет обрабатывать сообщения, отправленные злоумышленником, что может привести к выполнению кода. Уязвимыми объектами являются экземпляры sshd, созданные на основе определенных версий Erlang/OTP, используемых в телекоммуникационных и промышленных системах.

Телеметрия показывает активные попытки взлома, начавшиеся после публичного раскрытия (уязвимость была опубликована 16 апреля 2025 г.; самые ранние попытки взлома были зафиксированы 1 мая 2025 г.). Датчики обнаружили активность эксплойтов в нескольких отраслях и географических регионах. Сканирование общедоступного Интернета в период с 16 апреля по 9 мая 2025 года выявило 275 различных хостингов и 326 сервисов Erlang/OTP, доступных из Интернета, с наибольшей концентрацией в Соединенных Штатах, Бразилии и Франции.

Анализ полезной нагрузки и телеметрия DNS указывают на то, что злоумышленники выполняют обратные вызовы DNS, используя длинные, случайно сгенерированные поддомены под dns.outbound.watchtowr[.\]com, совместимый с оппортунистической эксплуатацией, которая устанавливает внеполосное подтверждение или управление. Попытки эксплойта проявляются в виде концентрированных всплесков, а не постоянных кампаний, и пик активности сильно смещен в сторону сред операционных технологий (OT). Анализ на страновом уровне показывает чрезвычайно высокую корреляцию OT для триггеров сигнатур в нескольких странах (Япония \~99,7% от; Нидерланды, Ирландия, Бразилия, Эквадор - 100% ОТ; США - 71,15% от, но при наблюдении 1916 сигнатур, инициированных OT).

Наблюдаемые схемы работы предполагают, что злоумышленники могут использовать скомпрометированные корпоративные точки опоры и перемещения внутри компании для доступа к периферийным устройствам и брандмауэрам OT, а затем предпринимать попытки эксплуатации внутри корпоративных сетей для доступа к системам OT. Сочетание незащищенных экземпляров Erlang/OTP sshd и всплесков обнаружения со смещением OT увеличивает риск для критически важной инфраструктуры, в которой развернуты эти среды выполнения.

Слив внутренних данных Kimsuky
https://data.ddosecrets.com/APT%20Down%20-%20The%20North%20Korea%20Files/

#ParsedReport #CompletenessLow
12-08-2025

Detecting Linux PAM Exploit Malware Attacks Using AhnLab EDR

https://asec.ahnlab.com/ko/89515/

Report completeness: Low

Threats:
Plague

TTPs:

ChatGPT TTPs:
do not use without manual check
T1056.004, T1574.006

IOCs:
File: 1
Hash: 5
Url: 2

Soft:
Linux, sudo, OpenSSH

Algorithms:
md5

Functions:
pam_authenticate, pam_sm_authenticate

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PAM централизует аутентификацию с помощью libpam; компрометация пути его выполнения приводит к предоставлению учетных данных для разных служб. Plague (август 2025) использует предварительную загрузку динамического загрузчика (например, LD_PRELOAD) для ввода общего объекта и перехвата pam_authenticate(), получая учетные данные из sshd и других процессов, использующих PAM. Он использует вставку библиотеки времени выполнения вместо установки модуля PAM для подрыва потоков аутентификации.
-----

Подключаемые модули аутентификации (PAM) - это модульная платформа, используемая Unix-подобными системами для централизации аутентификации в таких приложениях, как su, sudo и sshd. Приложения обращаются к библиотеке libpam, которая загружает и выполняет настроенные модули PAM и агрегирует их результаты для обеспечения соблюдения политик аутентификации. Поскольку аутентификация делегирована libpam, нарушение пути выполнения PAM может привести к раскрытию учетных данных, используемых многими службами.

Описанное вредоносное ПО, получившее название "Plague" в отчете за август 2025 года, злоупотребляет предварительной загрузкой динамического загрузчика для перехвата вызовов аутентификации PAM. Вместо установки законного модуля PAM, Plague использует метод предварительной загрузки (обычно LD_PRELOAD), чтобы внедрить общий объект в адресное пространство целевых процессов и подключить функцию pam_authenticate(). Подключив функцию pam_authenticate(), вредоносное ПО может перехватывать учетные данные, предоставляемые таким службам, как sshd, и другим процессам, использующим PAM, без регистрации в качестве модуля PAM. Этот метод основан на внедрении библиотеки времени выполнения для загрузки вредоносного кода в запущенные процессы и нарушения потоков аутентификации, что позволяет осуществлять кражу учетных данных в нескольких службах, которые полагаются на libpam.

#ParsedReport #CompletenessMedium
12-08-2025

Detecting LodaRAT malware with Wazuh

https://wazuh.com/blog/detecting-lodarat-malware-with-wazuh/

Report completeness: Medium

Threats:
Lodarat
Process_injection_technique

TTPs:

IOCs:
Path: 4
Hash: 2
File: 37

Soft:
Sysinternals, Pyinstaller

Algorithms:
sha256

Functions:
message

Languages:
python, powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LodaRAT - это скрытный троян удаленного доступа, распространяющийся с помощью фишинга и вредоносных документов, способный к краже учетных данных, выполнению команд, закреплению, Внедрению кода в процесс, зашифрованному C2 и эксфильтрации через легальные сервисы. Он поддерживает выполнение из командной строки, адаптируется на хосте и обычно удаляет двоичные файлы для загрузки пользователями. Наблюдаемые объекты включают в себя создание файлов, события системной команды/процесса, следы внедрения.
-----

LodaRAT - это скрытый троян удаленного доступа, который распространяется с помощью фишинга и вредоносных документов и способен к краже учетных данных, выполнению команд, закреплению, Внедрению кода в процесс, зашифрованной передаче данных по управлению (C2) и эксфильтрации данных через законные службы. В основном он работает с помощью командной строки и может динамически адаптировать свое поведение на скомпрометированных хостах.

Обнаружение в описанной среде использует Sysmon на конечных точках Windows для сбора соответствующих системных событий, а сервер Wazuh - для обработки этих событий и применения пользовательских правил обнаружения. Мониторинг целостности файлов (FIM) используется для обнаружения дополнений, таких как двоичный файл LodaRAT, помещенный в папку загрузок пользователя. Обнаруженные создания или модификации файлов хэшируются и автоматически запрашиваются с помощью VirusTotal API; вредоносный вердикт от VirusTotal запускает автоматический активный ответ. Активный ответ реализован в виде скрипта на Python, настроенного в Wazuh, который удаляет идентифицированные варианты LodaRAT и записи правил (например, в /var/ossec/etc/rules/lodarat_rules.xml ) генерировать оповещения, когда активный ответ удаляет Вредоносные файлы.

Рабочий процесс обнаружения генерирует оповещения на сервере/панели мониторинга Wazuh при выполнении LodaRAT: события Sysmon поступают в Wazuh, FIM обнаруживает добавление файлов, хэши отправляются в VirusTotal, а подтвержденный вредоносный результат вызывает сценарий удаления с активным ответом при протоколировании исправления. Такое сочетание телеметрии (Sysmon), FIM, анализа угроз (VirusTotal) и автоматического исправления обеспечивает ориентированный на сдерживание ответ на наблюдаемое поведение LodaRAT, такое как удаление файлов, активность в командной строке и механизмы закрепления.

#ParsedReport #CompletenessMedium
12-08-2025

New Ransomware Charon Uses Earth Baxia APT Techniques to Target Enterprises

https://www.trendmicro.com/en_us/research/25/h/new-ransomware-charon.html

Report completeness: Medium

Actors/Campaigns:
Earth_baxia

Threats:
Charon
Dll_sideloading_technique
Process_injection_technique
Swordldr
Shadow_copies_delete_technique
Dark-kill_tool

Industry:
Government, Aerospace

Geo:
Middle east

ChatGPT TTPs:
do not use without manual check
T1055.012, T1059.003, T1574.002

IOCs:
File: 41
Path: 1
Hash: 3

Soft:
Windows service, DefWatch

Algorithms:
sha1, chacha20, exhibit, curve25519

Win API:
NetShareEnum

Win Services:
AcronisAgent, AcrSch2Svc, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, BackupExecVSSProvider, CAARCUpdateSvc, have more...

Links:
https://github.com/SaadAhla/dark-kill

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, schema: 1, dump: 1, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Charon - это программа-вымогатель, ориентированная на предприятия, которая использует DLL sideloading: законную Edge.exe используется для загрузки вредоносного msedge.dll (SWORDLDR). SWORDLDR расшифровывает встроенную полезную нагрузку программы-вымогателя и вводит ее в созданный svchost.exe чтобы замаскироваться под Службу Windows и обойти элементы управления. Программа-вымогатель также анализирует аргументы командной строки, чтобы изменить поведение во время выполнения.
-----

Charon - это недавно обнаруженное семейство программ-вымогателей, используемое в кампании, ориентированной на предприятия, которая включает в себя приемы в стиле сложных целенаправленных атак, приписываемые методам Earth Baxia, и выдает индивидуальные требования о выкупе. Наблюдаемая цепочка атак основана на DLL sideloading: законном Edge.exe двоичный файл выполняется и используется для загрузки вредоносного msedge.dll (отслеживается как "SWORDLDR"). SWORDLDR функционирует как загрузчик, который расшифровывает встроенную полезную нагрузку программы-вымогателя и вводит ее во вновь созданный svchost.exe процесс. Выполнение полезной нагрузки внутри svchost.exe позволяет программе-вымогателю маскироваться под законную Службу Windows и обходить обычные средства управления конечными точками.

Двоичный файл программы-вымогателя принимает множество параметров командной строки, которые изменяют его поведение во время выполнения; наличие и синтаксический анализ этих аргументов являются частью его операционной логики (в отчете отмечается проверка наличия конкретных аргументов). Инъекция в svchost.exe и использование загруженной со стороны библиотеки DLL являются основными методами уклонения и закрепления в цепочке. Сочетание скрытности, скорости и уклончивости соответствует методологиям сложных целенаправленных атак, а не оппортунистическому товарному Ransomware.

В оборонительных рекомендациях, содержащихся в отчете, подчеркивается многоуровневый подход. Ключевые технические точки обнаружения и усиления защиты, подразумеваемые цепочкой, включают мониторинг DLL sideloading связанных с Edge библиотек DLL (непредвиденный msedge.экземпляры dll), аномальные родительско-дочерние отношения, включающие исполняемые файлы браузера, порождающие нестандартные библиотеки DLL или svchost.exe , обнаружение операций расшифровки/внедрения в память, связанных с отражающими загрузчиками, и ведение журнала/анализ аргументов командной строки для подозрительных двоичных файлов. Меры по сдерживанию и реагированию должны учитывать внедрение в процессы обслуживания системы и потенциал быстрого шифрования и перемещения внутри компании с учетом наблюдаемых методов в стиле сложных целенаправленных атак.

#ParsedReport #CompletenessMedium
12-08-2025

Picture Paints a Thousand Codes: Dissecting Image-Based Steganography in a .NET (Quasar) RAT Loader

https://www.splunk.com/en_us/blog/security/image-steganography-quasar-rat-detection.html

Report completeness: Medium

Threats:
Quasar_rat
Steganography_technique
Spear-phishing_technique
Motw_bypass_technique
Agent_tesla
Formbook
Masslogger

Industry:
Telco

TTPs:

IOCs:
File: 12
Hash: 14

Soft:
Opera, Firefox, Microsoft Edge, Google Chrome, Windows registry, WinSCP, windows scheduled task, Internet Explorer, Slack

Algorithms:
base64, aes, xor

Platforms:
x86

Links:
https://github.com/tccontre/KnowledgeBase/tree/main/malware\_re\_tools/pixdig
https://gist.github.com/tccontre/9b3630d80c0e15bd6c75010c68df4ee2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Загрузчик .NET, поставляемый с помощью spearphishing (с подделкой значков), запускает Quasar RAT с использованием Стеганографии на основе изображений: BMP-ресурс, проанализированный дешифратором PNG (captive.dll ) восстанавливает заглушку (montero.dll ), который извлекает и расшифровывает вторую полезную нагрузку в формате PNG и зашифрованный большой двоичный объект ресурса. Quasar собирает учетные данные браузера и файла/реестра, сохраняется с помощью ключей запуска реестра и автозагрузки.URL, удаляет зону.Идентификатор, использует задержки ping и runas для уклонения от синхронизации и повышения привилегий, собирает инвентарь через WMI и поддерживает обратный прокси C2. Конфигурации закодированы в Base64/AES; сетевое поведение включает запросы проверки IP (api.ipify.org , ipwho.is ) и сигнатуры Snort (SIDS 1:65142,1:65132,1:65133,1:301276).
-----

Образцом является .NET-загрузчик, доставляемый с помощью Целевого фишинга с вложениями (T1566.001), который использует подмену значков для отображения в качестве доброкачественных документов. Он использует Стеганографию на основе изображений (T1027.003) для обработки своей полезной нагрузки: исходный ресурс BMP анализируется заглушкой дешифратора PNG (captive.dll ), который выполняет итерацию пиксельных компонентов RGB для поэтапного восстановления заглушки (до трех байт на пиксель). Этот огрызок (montero.dll ) расшифровывает и извлекает вторую полезную нагрузку из PNG, хранящегося в ресурсах загрузчика, используя аналогичное извлечение на основе пикселей, прежде чем расшифровать зашифрованный большой двоичный объект в метаданных ресурса в качестве конечной полезной нагрузки: Quasar RAT.

Возможности Quasar RAT включают в себя сбор учетных записей браузера (T1555.003), ориентированный на Opera, Firefox, Edge, Brave, Yandex и Chrome для извлечения сохраненных имен пользователей, паролей, кредитных карт и файлов cookie, а также сбор учетных данных, хранящихся в файлах или реестре (T1552.001), таких как FileZilla Site Manager и последние настройки сервера. Закрепление достигается с помощью ключей запуска реестра и путем удаления .Ярлыки URL-адресов в папке автозагрузки Windows (T1547.001). Вредоносное ПО удаляет зону.Идентификатор (Mark-of-the-Web), предназначенный для Нарушения работы средств контроля доверия (T1553.005). Он использует задержки на основе ping в пакетных сценариях, чтобы затруднить анализ в изолированной среде и уклонение от обнаружения на основе времени (командная оболочка T1059.003).

Попытки повышения привилегий используют Windows runas (Манипуляции с токенами доступа, T1134). Quasar собирает системный инвентарь (T1082) через WMI для создания маяка и включает функцию обратного прокси (T1090) для ретрансляции трафика злоумышленника через скомпрометированные хосты. Метаданные конфигурации и этапа встроены в кодировку Base64 и зашифрованы AES, содержат версию сборки, адреса C2, пути удаления, байты подписи для проверки клиента и сертификат X.509 для защищенной связи. Сетевое поведение включает запросы к Веб-службам проверки IP-адресов (например, api.ipify.org , ipwho.is ) обнаруживается с помощью Sysmon EventCode 22 и мониторинга DNS. Артефакты обнаружения и сетевые сигнатуры были созданы в виде правил Snort (SID, включая 1:65142, 1:65132, 1:65133 для Snort 2 и 1:65142, 1:301276 для Snort 3) выпущен в пакете 2025-07-21 для обнаружения загрузок загрузчика и начального трафика Quasar C2.

#ParsedReport #CompletenessMedium
12-08-2025

From ClickFix to Command: A Full PowerShell Attack Chain

https://www.fortinet.com/blog/threat-research/clickfix-to-command-a-full-powershell-attack-chain

Report completeness: Medium

Actors/Campaigns:
Muddywater

Threats:
Clickfix_technique
Lolbin_technique

Victims:
Israeli organizations, Regional business landscape

Industry:
Healthcare

Geo:
Israeli

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1566.001

IOCs:
Url: 6
Command: 1
Path: 1
File: 3
Hash: 1

Soft:
Microsoft Teams

Algorithms:
exhibit, sha256, gzip, base64

Functions:
Get-Decompress, Get-File

Win API:
decompress

Win Services:
WebClient

Languages:
powershell, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целенаправленный фишинг через скомпрометированную внутреннюю электронную почту привел к появлению фишингов -сайта с запутанным загрузчиком PowerShell Base64, разделенным на три строки, которые загружают вторичный этап PowerShell. Вторичный этап считывает локальный test.html чтобы реконструировать окончательный .ps1, включив RAT без файлов / в памяти с рандомизированным опросом (\~ 2-7 секунд), вызывающий Get-Appversion для отправки регистраций. C2 использует многоуровневое кодирование (GZip, Base64, reverse), декодируемое с помощью Get-распаковки; команды используют числовые префиксы; коммуникационные рычаги.ЧИСТЫЙ HTTP, urlmon.пользовательский агент dll, учетные данные Windows по умолчанию и системный прокси-сервер, а кампания демонстрирует боковое расширение, избегая RMM и публичного хостинга.
-----

Вторжение начинается с целенаправленного фишинга электронных писем, распространяемых через скомпрометированную внутреннюю инфраструктуру электронной почты, с использованием социально ориентированных сообщений (наставническая сессия по медицинским/фармацевтическим поставкам военного времени) для поощрения обмена информацией и внутреннего распространения. HTML-код сайта фишинга содержит запутанную команду PowerShell в кодировке Base64, разделенную на три строки, которая служит начальным загрузчиком и запускает вторичный этап PowerShell.

Вторичный этап считывает локальный test.html файл для восстановления окончательной вредоносной полезной нагрузки .ps1. Вся цепочка заражения, включая доставку и выполнение троянца удаленного доступа (RAT), реализована в PowerShell, что эффективно обеспечивает работу без файлов или в памяти без удаления традиционных исполняемых файлов. Постоянный цикл опроса реализует случайные переходы в спящий режим (по умолчанию \~ 2-7 секунд), чтобы избежать обнаружения, и повторно вызывает функцию с надписью Get-Appversion для отправки регистраций в C2.

Ответы C2 передаются в многоуровневой кодированной форме: сжатой в GZip, закодированной в Base64 и обратной. Клиент декодирует и распаковывает эти ответы локально, используя процедуру Get-распаковки. Команды обрамлены числовыми префиксами, которые соотносятся с конкретными действиями, позволяя RAT анализировать и выполнять различные инструкции удаленно. Скрытность на сетевом уровне включает в себя использование собственных HTTP-запросов .NET, установку законного пользовательского агента через urlmon.dll, используя учетные данные Windows по умолчанию и соблюдая настройки системного прокси-сервера, чтобы они сочетались с обычным трафиком.

Операционное поведение демонстрирует горизонтальную экспансию за счет использования недавно взломанных сред для нацеливания на другие организации, но актор избегал инструментов RMM и общедоступных сервисов размещения файлов, которые обычно используются в подобных кампаниях. Сочетание многоуровневой обфускации, выполнения в PowerShell в памяти, рандомизированного опроса и собственных сетевых API Windows демонстрирует подход living-off-the-land, ориентированный на уклонение и устойчивую связь C2.