#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KiwiStealer, обнаруженный в 2024 году и связанный с Bitter APT, представляет собой облегченное вредоносное ПО для эксфильтрации файлов, которое перечисляет определенные каталоги и расширения, воруя только файлы, измененные за последний год и размером менее 50 МБ. Он собирает имя пользователя и имя компьютера, добавляет их к жестко закодированному URI C2, декодированному во время выполнения путем изменения строки, затем ROT2, и использует мьютекс "rabadaisunique" для предотвращения одновременных экземпляров. Сетевая активность показывает эксфильтрацию HTTP POST в ebeninstallsvc[.\]com/uplh4ppy.php перенос файловых данных и метаданных.
-----

KiwiStealer - это вредоносное ПО для эксфильтрации файлов, впервые выявленное в 2024 году и замеченное в конце 2024 года, используемое Bitter APT. Его основная функция заключается в сборе и эксфильтрации файлов, а не в выполнении широких перемещений внутри компании или других сложных действий по закреплению. Образец перечисляет конкретные каталоги и нацелен на определенный набор расширений файлов, пытаясь отфильтровать только файлы, измененные в течение последнего года и размер которых составляет менее 50 МБ.

Перед сбором файлов вредоносное ПО собирает базовую системную информацию — как минимум имя пользователя и название компьютера — и добавляет эти идентификаторы к URI управления (C2). Конечная точка C2 жестко закодирована в двоичном коде и декодируется во время выполнения с использованием двухэтапной процедуры: перестановка строк с последующим использованием модифицированного шифра Цезаря (ROT2). В примере используется мьютекс с именем "rabadaisunique" для предотвращения нескольких одновременных экземпляров на одном хосте.

Поведение сети - это эксфильтрация на основе HTTP с помощью POST-запросов. Наблюдаемый трафик в предоставленном PCAP показывает две записи в ebeninstallsvc[.\]com с указанием пути /uplh4ppy.php ; запросы включают имя компьютера и логин скомпрометированного хоста как часть URI и полезной нагрузки HTTP. Взаимодействия POST используются для передачи файловых данных и связанных с ними метаданных в C2. В целом, KiwiStealer - это легкий, целенаправленный похититель данных с простой механикой декодирования, сбора и эксфильтрации HTTP, используемой Bitter APT для целенаправленной кражи файлов.

#ParsedReport #CompletenessMedium
14-08-2025

Two double: Scaly Wolf wants to get the secrets of the Russian machine -building enterprise

https://st.drweb.com/static/new-www/news/2025/august/updatar/Trojan.Updatar-pdf.pdf

Report completeness: Medium

Actors/Campaigns:
Scaly_wolf

Threats:
Updatar
Meterpreter_tool
Handlekatz_tool
Chisel_tool
Rdpwrap_tool
Metasploit_tool
Remcom_tool
Siggen
Remoteadmin_tool
Remcos_rat
Ligolo_tool

Victims:
Machine building sector

Geo:
Russian

TTPs:
Tactics: 3
Technics: 11

IOCs:
File: 15
IP: 1
Domain: 10
Url: 2
Registry: 1
Path: 1
Hash: 27

Soft:
Telegram

Algorithms:
xor, base64

Win Services:
BITS

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае–июне 2025 года при вторжении в российскую машиностроительную компанию использовался многоступенчатый загрузчик/бэкдор C++ (Trojan.updatar.1-3) с помощью фишингов PDF‑файлов и скомпрометированного RDP. Updatar.1 собирает метаданные WMI, проверяет hxxp://www.msftncsi[.\]com/ncsi.txt , извлекает полезную нагрузку и отбрасывает Updatar.2 к картинкам; Обновление.2 устанавливает Updatar.3, постоянный модульный бэкдор, предлагающий CMD, API для загрузки файлов и широковещательную передачу экрана WebSocket на порт 80. Операторы использовали Meterpreter, Mimikatz, Chisel/FRP и пользовательские инструменты SFTP/VNC; C2s включал 77.105.161.30, Roscosmosmeet[.\]online и домен служб обновления.
-----

При целенаправленном вторжении на российское машиностроительное предприятие в мае‑июне 2025 года использовалось многоступенчатое семейство загрузчиков/бэкдоров C++ (Trojan.updatar.1-3), доставляемое с помощью фишинг-файлов PDF и скомпрометированных учетных данных RDP. Первоначальное обнаружение произошло 6 мая 2025 года; первое успешное заражение произошло 12 мая на компьютере без антивируса, где Updatar.1 запустил и извлек Updatar.1.2 и обновленный файл.3. Последующее развертывание запланированной задачи BITS 23 мая было заблокировано endpoint protection; переход на RDP, начавшийся 23 июня, позволил интерактивный доступ, но попытки загрузки PowerShell/Metasploit также были остановлены антивирусом на этом хосте.

Trojan.updatar.1 функционирует как поэтапный загрузчик: при запуске он собирает системные метаданные через WMI, проверяет подключение к Интернету по hxxp://www.msftncsi[.\]com/ncsi.txt , и выдает запросы /статистику в C2 для получения полезной нагрузки, инициируемой оператором. Updatar.1 записывает Updatar.2 до C:\Users \<пользователь>\Картинки и пытается их выполнить. Строки в загрузчике запутываются с использованием XOR для каждой выборки и небольших поворотов; шум от Rockyou.txt entries используется внутри двоичного файла. Обновление.2 загружает и устанавливает Updatar.3 как постоянную службу. Updatar.3 - это модульный, сфокусированный бэкдор, который выполняет команды оператора, возвращая выходные данные на сервер; он поддерживает удаленное выполнение команд (CMD), загрузку файлов через конечные точки, такие как /dashboard/api/file_manager/command// и /dashboard/api/file_manager/upload_file//, а также модуль широковещательной передачи экрана, реализованный через WebSocket (Boost::Beast) на порту 80 (/ws/vs/).

Злоумышленник использовал дополнительные операционные инструменты: варианты Meterpreter для интерактивных оболочек, Handlekatz для сбора учетных записей, Chisel и FRP для туннелирования, а также пользовательские утилиты, найденные в инфраструктуре, такие как Trojan.uploader.36875 (клиент эксфильтрации SFTP) и Backdoor.Siggen2.5423 (бэкдор VNC на Python). Разнообразие C2 включало в себя несколько серверов с вариантами Meterpreter, привязанными к IP 77.105.161.30, и модулями Updatar.3, использующими домен служб обновления; основное хранилище вредоносного ПО было связано с онлайн-доменом Roscosmosmeet[.\]. Компоненты управляются оператором, а не автоматически, что обеспечивает выборочную доставку и более точное обнаружение.

#ParsedReport #CompletenessLow
14-08-2025

Fire Ant: A thorough analysis of hypervisor-level espionage activities

https://www.sygnia.co/articles/fire-ant-hypervisor-espionage-analysis/

Report completeness: Low

Actors/Campaigns:
Fire_ant (motivation: cyber_espionage)
Unc3886 (motivation: cyber_espionage)

Threats:
Credential_stealing_technique
Virtualpita
Lsadump_tool
Neo-regeorg_tool
Medusa_rootkit
Portproxy_tool

Victims:
Virtualization infrastructure, Network infrastructure

Industry:
Critical_infrastructure, Telco

Geo:
Chinese

CVEs:
CVE-2023-34048 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware vcenter_server (le5.5, 7.0, 8.0)

CVE-2023-20867 [Vulners]
CVSS V3.1: 3.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware tools (<12.2.5)

CVE-2022-1388 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_advanced_firewall_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_analytics (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_application_acceleration_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_application_security_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
have more...

ChatGPT TTPs:
do not use without manual check
T1003, T1021, T1059.001, T1078, T1090, T1190, T1505.003, T1547, T1562.001

IOCs:
File: 14
Path: 1

Soft:
ESXi, PowerCLI, Linux, esxcli, Active Directory

Languages:
python, php, java, powershell

Links:
https://github.com/L-codes/Neo-reGeorg
https://github.com/3gstudent/Homework-of-Python/blob/master/vCenter\_ExtraCertFromMdb.py
https://github.com/3gstudent/Homework-of-Python/blob/master/vCenter\_GenerateLoginCookie.py
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Fire Ant нацелен на VMware vCenter/ESXi и F5, используя CVE-2023-34048 и CVE-2022-1388 для доступа на уровне гипервизора и промежуточной обработки Веб-шелла. Операторы крадут учетные данные пользователя vpx, внедряют постоянные бэкдоры ESXi/vCenter, манипулируют vmx и злоупотребляют VMware Tools/PowerCLI (CVE-2023-20867) для запуска закодированных PowerShell и создания моментальных снимков памяти. Они переключаются через прокси-серверы портов/каналы управления, подавляют телеметрию (уничтожают vmdird/vmsyslogd, vmx -x) с помощью таких индикаторов, как активность vim-cmd/esxcli, новые двоичные файлы в путях, доступных для записи, и родительский cmd/PowerShell с использованием vmtoolsd.
-----

Fire Ant — это целенаправленная шпионская кампания, направленная на виртуализацию и сетевую инфраструктуру — в первую очередь VMware vCenter, ESXi hosts и средства балансировки нагрузки F5, - использующая доступ на уровне гипервизора для достижения долговременной, незаметной закрепления и межсегментного перемещения внутри компании. Первоначальный компромисс использует CVE-2023-34048 (запись за пределы vCenter DCERPC, приводящая к неавторизованному RCE) и злоупотребляет F5 IControl REST через CVE-2022-1388 для развертывания промежуточной Веб-шелл (/usr/local/www/xui/common/css/css.php ). Деятельность после компромисса демонстрирует сильное совпадение с инструментами и целями UNC3886.

Получив контроль над vCenter, актор извлекает учетные данные учетной записи службы vpxuser для аутентификации на подключенных хостах ESXi, развертывает несколько постоянных бэкдоров как на ESXi, так и на vCenter и манипулирует процессом VMX, чтобы получить привилегированный контроль над гостями. Злоупотребление VMware Tools/PowerCLI (CVE-2023-20867) и командлетом Invoke-VMScript используется для выполнения закодированного PowerShell внутри гостевой системы без проверки подлинности в гостевой системе. Актор также извлекает учетные данные и секреты из моментальных снимков памяти, включая данные контроллера домена, и регулярно изменяет двоичные файлы, чтобы избежать обнаружения и восстановить доступ после исправления.

Тактика обхода сегментации сети включает создание избыточных туннелей и ретрансляций через доверенные конечные точки: использование netsh portproxy для перенаправления портов на серверах/рабочих станциях администраторов, встраивание туннелей в критически важную инфраструктуру и использование законных каналов управления для доступа к средам с ограниченным доступом. Злоумышленники намеренно используют характеристики гипервизора для остановки или подавления телеметрии (например, завершают работу vmdird или vmsyslogd, чтобы остановить переадресацию системного журнала) и запускают виртуальные машины напрямую с помощью vmx -x, чтобы избежать инвентаризации и видимости vCenter.

Наблюдаемые технические индикаторы включают внезапное завершение работы vmdird/vmsyslogd и сбои системного журнала, неожиданный снимок vim-cmd/esxcli или команды управления хостом, новые двоичные файлы, выполняемые по путям, доступным для записи (/tmp, /scratch), загрузка vmx -x, происхождение гостевого cmd.exe или powershell.exe от vmtoolsd.exe , и агенты EDR на виртуальных машинах не могут регистрируйтесь, несмотря на активное состояние виртуальной машины. Основное внимание при обнаружении должно быть уделено протоколированию/пересылке на уровне гипервизора, базированию процессов на ESXi, мониторингу шаблонов выполнения от хоста к гостю и сопоставлению инвентаризации виртуальных машин с телеметрией EDR для выявления несанкционированного доступа.

#ParsedReport #CompletenessMedium
14-08-2025

APT-C-36 (Blind Eagle) organization upgrades its confrontational methods in new attack activities

https://www.ctfiot.com/264723.html

Report completeness: Medium

Actors/Campaigns:
Blindeagle

Threats:
Dcrat
Sandbox_evasion_technique
Process_hollowing_technique

Victims:
Government departments, Finance sector, Insurance sector, Large companies

Industry:
Government, Financial

Geo:
Chile, America, Panama, Ecuador, Spanish, Colombia

ChatGPT TTPs:
do not use without manual check
T1055, T1204.002, T1219, T1566.001, T1574.002

IOCs:
File: 6
Path: 1
Domain: 1
Hash: 3
IP: 1

Soft:
WeChat

Algorithms:
aes-256

Win API:
EnumSystemFirmwareTables, NtAllocateVirtualMemoryRtlAllocateHeapNtWriteVirtualMemoryResumeThread

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная целенаправленная атака ‑ C‑36 (он же Blind Eagle), действующая по меньшей мере с 2018 года и сосредоточенная на Колумбии с операциями в Эквадоре, Чили и Панаме, нацелена на правительство, финансовые/страховые компании и крупные предприятия. Вторжения начинаются с подводной охоты / электронной почты-приманки, которая обманом заставляет пользователей загружать и запускать исполняемый файл, который, в свою очередь, загружает вредоносную DLL-библиотеку, содержащую встроенный код полезной нагрузки. Конечная полезная нагрузка - DcRAT, развертываемая с помощью Внедрения кода в процесс в законный процесс для скрытого удаленного доступа; наблюдаемые TTP включают первоначальный доступ к электронной почте, загрузку EXE→DLL/побочную загрузку и Внедрение кода в процесс, согласующееся с активностью сложной целенаправленной атаки‑C‑36.
-----

APT-C-36 (он же Blind Eagle) – это сложная целенаправленная атака, связанная с Южной Америкой, действующая, по крайней мере, с 2018 года, с основным нацеливанием на Колумбию и дополнительными операциями в Эквадоре, Чили и Панаме. Основными целями являются правительственные ведомства, финансовый и страховой секторы, а также крупные предприятия в этих регионах.

Наблюдаемая цепочка вторжений начинается с файла приманки для подводной охоты/отправленного по электронной почте. Пользователя обманом заставляют загрузить и запустить исполняемый файл, помещенный в папку; этот исполняемый файл впоследствии загружает вредоносную библиотеку динамических ссылок (DLL), которая выполняет встроенный вредоносный код. Полезная нагрузка заключительного этапа сообщается как DcRAT, которая развертывается путем внедрения RAT в законный процесс для обеспечения выполнения кода и удаленного управления хостом. Описанные методы соответствуют первоначальному доступу, требующему взаимодействия с пользователем, загрузке библиотеки DLL/боковой загрузке в качестве механизма загрузки и Внедрению кода в процесс для скрытого выполнения Trojan.

TTP, на которые следует обратить внимание: электронная почта в качестве вектора первоначального доступа, выполнение удаленного исполняемого файла, который ссылается на вредоносную DLL‑библиотеку (метод загрузки DLL/боковой загрузки), и выполнение после компрометации с помощью Внедрения кода в процесс DcRAT для получения постоянного удаленного управления. Шаблоны таргетинга и инструментария поддерживают присвоение этих операций имени сложной целенаправленной атаки‑C‑36.

#ParsedReport #CompletenessMedium
14-08-2025

PhantomCard: New NFC-driven Android malware emerging in Brazil

https://www.threatfabric.com/blogs/phantomcard-new-nfc-driven-android-malware-emerging-in-brazil

Report completeness: Medium

Threats:
Phantomcard
Nfskate
Ngate
Ghost_tap_technique
Supercard-x
Nfcgate_tool
Btmob_rat
Ghostspy
Chrysaor
Rocinante

Victims:
Mobile users

Industry:
Financial

Geo:
Portuguese, Chinese, Brazilian, Brazil

ChatGPT TTPs:
do not use without manual check
T1410, T1475

IOCs:
Hash: 2

Soft:
Android, Google Play, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PhantomCard - это семейство Android-вредоносных ПО на базе NFC, обнаруженное в Бразилии, связанное с NFSkate (NGate) и Ghost Tap. Это ставит под угрозу Аппаратное обеспечение / программное обеспечение NFC устройства для захвата, эмуляции или пересылки бесконтактных обменов картами, связывая взаимодействия NFC с сетевыми каналами для ретрансляции транзакций с использованием карты на удаленные конечные точки. Постоянные нарушения привилегий и доступности поддерживают NFC активным в фоновом режиме, чтобы избежать проверок на близость и включить удаленные платежи / клонирование карт.
-----

PhantomCard описывается как новое семейство вредоносных ПО для Android, основанное на NFC, обнаруженное в Бразилии, продолжающее наблюдаемую тенденцию угроз с использованием NFC-ретрансляции, нацеленных на экосистемы бесконтактных платежей. Разведка связывает PhantomCard с родословной, которая включает в себя NFSkate (он же NGate), впервые идентифицированную в марте 2024 года, и Ghost Tap, что ознаменовало дальнейшую эволюцию в использовании злоумышленниками методов ретрансляции NFC для операций по обналичиванию финансовых средств. Эти инциденты указывают на то, что киберпреступники уделяют все больше внимания злоупотреблению возможностями мобильной NFC для устранения требования физической близости при бесконтактных транзакциях.

Технически кампании NFC-ретрансляции используют скомпрометированное Аппаратное обеспечение NFC и программный стек Android-устройства для захвата, пересылки или эмуляции взаимодействий с бесконтактными картами удаленному актору или конечной точке. Типичное поведение вредоносного ПО этого класса включает активацию или поддержание служб NFC в фоновом режиме, объединение взаимодействий NFC с сетевыми каналами для ретрансляции обмена данными с использованием карт, а также использование постоянных привилегий или Специальных возможностей для сохранения работоспособности, избегая уведомления пользователя. Основная цель, наблюдаемая в родственных семьях, заключается в устранении проверок на близость, присущих бесконтактным платежам, что позволяет инициировать удаленный платеж или клонировать карту для снятия наличных. Основные моменты обнаружения и смягчения последствий включают аномальную фоновую активность NFC на пользовательских устройствах, неожиданные сетевые подключения, исходящие от устройств во время событий NFC, и наличие неизвестных приложений, запрашивающих разрешения, связанные с NFC, или закрепление на переднем плане. Мониторинг этого класса угроз остается важным по мере того, как методы совершенствуются и распространяются географически.

#ParsedReport #CompletenessLow
14-08-2025

Setting the stage

https://profero.io/blog/from-drone-strike-to-file-recovery-outsmarting-a-nation-state

Report completeness: Low

Actors/Campaigns:
Darkbit

Victims:
Ammunition factory, Oil refinery, Oil facility, Esxi servers, Enterprise organization

Industry:
Petroleum

Geo:
Iran, Israel, Iranian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486

IOCs:
Hash: 2
File: 1

Soft:
Telegram, ESXi, esxcli, Unix

Algorithms:
sha256, md5, base64, aes, aes-128-cbc, rsa-2048

Functions:
time

Win Services:
bits

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
esxi.darkbit - это программа-вымогатель на C++, использующая Crypto++, которая нацелена на VMDK, подключенные к ESXi VMFS, выдает esxcli для остановки виртуальных машин и шифрует каждый файл уникальным ключом AES-128 /IV (16-байтовым), пары ключей AES / IV которого зашифрованы RSA с помощью встроенного открытого ключа и прилагаемого к файлам. Он использует выборочное / фрагментированное шифрование (небольшие файлы: блоки размером 0x100000 байт, пропускающие 0xA00000; большие файлы: блоки размером 0x200000 с пропуском =(РАЗМЕР файла /0x32)-0x200000), оставляя значительные незашифрованные области и некоторые VMDK, показывающие следы повреждения / очистки, подобные следам wiper. Слабые шаблоны генерации RNG/ключей позволяли восстанавливать AES-ключи для каждого файла методом грубой силы, а разреженная структура VMDK позволяла восстанавливать многие внутренние файлы без расшифровки.
-----

28 января 2023 года инфраструктура ESXi организации подверглась атаке вируса-вымогателя, идентифицированного как "esxi.darkbit", инструмент C++, который использует библиотеку Crypto++ и предназначен для шифрования образов дисков виртуальных машин при монтировании в VMFS. Перед шифрованием вредоносное ПО выдает команды esxcli для остановки всех виртуальных машин. Каждый файл зашифрован с помощью уникального ключа AES и IV (16-байтовые ключи AES), и эти пары ключей AES/IV для каждого файла шифруются RSA с использованием открытого ключа, встроенного в образец (ASN.1 RSA, кодировка base64) и добавляются к зашифрованным файлам.

Шифрование осуществляется по частям, а не по полному файлу. Для файлов размером менее 0x640000 байт (\~6,55 МБ) процедура шифрует фрагменты размером 0x100000 байт и пропускает 0xA00000 байт между зашифрованными сегментами. Для файлов большего размера вредоносное ПО шифрует фрагменты размером 0x200000 байт и вычисляет размер пропуска как (FILESIZE / 0x32) - 0x200000. Этот выборочный/фрагментированный подход оставил значительные незашифрованные области в VMDKS. В нескольких файлах VMDK также были обнаружены следы, соответствующие повреждению или активности, подобной wiper.

Слабые места в реализации были использованы в ходе операций реагирования. Заполнение RNG-кода вредоносным ПО и генерация ключей содержали идентифицируемые шаблоны, которые позволяли использовать методы грубой силы против ключей AES для каждого файла. Кроме того, поскольку файлы VMDK разрежены, многие файлы уровня файловой системы внутри образов виртуальных дисков оставались восстанавливаемыми без расшифровки; исследователи прошлись по внутренним файловым системам VMDK и восстановили множество неповрежденных файлов непосредственно из незашифрованных областей.

Ключевые технические выводы: esxi.darkbit нацелен на VMDK, подключенные к VMFS, останавливает виртуальные машины через esxcli, использует AES-128 для каждого файла с ключами AES в RSA-оболочке, добавляемыми к файлам, и использует фрагментированное шифрование, которое оставляет пробелы, которые можно восстановить. Недостатки реализации в управлении RNG/ключами и разреженный характер VMDK существенно снизили устойчивость программы-вымогателя к попыткам восстановления.

#ParsedReport #CompletenessLow
14-08-2025

A Coordinated Response to MadeYouReset HTTP/2 Protocol Attacks

https://www.akamai.com/blog/security/2025/aug/response-madeyoureset-http2-protocol-attacks

Report completeness: Low

Threats:
Madeyoureset_technique

Victims:
Internet infrastructure, Server operators

CVEs:
CVE-2023-44487 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ietf http (2.0)


ChatGPT TTPs:
do not use without manual check
T1498, T1498.002

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MadeYouReset - это злоупотребление на уровне протокола HTTP/2, при котором злоумышленники отправляют намеренно искаженные управляющие фреймы для принудительного сброса потока на стороне сервера, а затем немедленно открывают новые потоки до завершения обработки сброса, что приводит к быстрому оттоку потока и повторному распределению/очистке. Эта гонка / цикл эффективно истощает ресурсы для каждого соединения и сервера (параллельные потоки, память, процессор, операции ввода-вывода), позволяя проводить DDoS-атаки L7 с низкой пропускной способностью; аналогичное поведение, требуемое протоколом, также возможно в QUIC/HTTP/3.
-----

MadeYouReset - это злоупотребление на уровне протокола HTTP/2, основанное на более ранней кампании быстрого сброса HTTP/2 (CVE-2023-44487), которая использовалась для крупных DDoS-атак уровня 7. Основной метод заключается в отправке заведомо неверных управляющих сообщений (искаженных управляющих фреймов), которые, согласно спецификации HTTP/2, заставляют сервер сбросить соответствующий поток. Злоумышленники используют предписанное поведение сервера и жизненный цикл потока: после выполнения сброса клиент—злоумышленник может немедленно открыть дополнительные потоки — даже до того, как клиент заметит, что сервер выполняет сброс, - что приводит к быстрому оттоку потока и повторному распределению/очистке на стороне сервера. Эта гонка/цикл обеспечивает эффективное использование ресурсов для каждого соединения и каждого сервера (параллельные потоки, память, центральный процессор и операции ввода-вывода) без необходимости использования злоумышленником большой полосы пропускания, что делает ее эффективной при отказе в обслуживании на прикладном уровне.

Процесс раскрытия информации отражал ответственное скоординированное раскрытие информации, используемое для решения проблем на уровне протокола в QUIC/HTTP/3: исследователи в частном порядке делились результатами с несколькими реализациями, позволяя поставщикам подтвердить существующие меры по устранению неполадок или подготовить исправления до публичного объявления. В QUIC были выявлены связанные с этим проблемы, связанные с механизмами проверки пути и идентификатора соединения, когда поведение, требуемое протоколом, может быть аналогичным образом нарушено, что приводит к дорогостоящей обработке на стороне сервера или недопустимым переходам состояний. Разработчикам следует проверить обработку потока/состояния на наличие недопустимых управляющих фреймов, обеспечить защиту ограничений и семантики быстрого сбоя от быстрого переключения потока и применить исправления поставщика, устраняющие эти нарушения протокола. Akamai сообщила, что ее реализация HTTP/2 не была уязвима для варианта MadeYouReset.

#ParsedReport #CompletenessMedium
14-08-2025

This 'SAP Ariba Quote' Isn't What It SeemsIt's Ransomware

https://cofense.com/blog/this-sap-ariba-quote-isn-t-what-it-seems-it-s-ransomware

Report completeness: Medium

Threats:
Wannacry
Eternal_petya
Leeme
Winrm_tool

Victims:
Enterprises, Email users

Industry:
Financial

Geo:
Portuguese, Italian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1056, T1056.001, T1059.006, T1204.001, T1486, T1555, T1566.002, T1566.003, have more...

IOCs:
File: 1
Url: 1
IP: 2
Hash: 8

Soft:
SAP Ariba, ProtonMail, Telegram, Windows Defender

Crypto:
bitcoin

Algorithms:
md5, zip, aes-256, sha256