CTT Report Hub
#ParsedReport #CompletenessLow 14-08-2025 Fire Ant: A thorough analysis of hypervisor-level espionage activities https://www.sygnia.co/articles/fire-ant-hypervisor-espionage-analysis/ Report completeness: Low Actors/Campaigns: Fire_ant (motivation: cyber_espionage)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Fire Ant нацелен на VMware vCenter/ESXi и F5, используя CVE-2023-34048 и CVE-2022-1388 для доступа на уровне гипервизора и промежуточной обработки Веб-шелла. Операторы крадут учетные данные пользователя vpx, внедряют постоянные бэкдоры ESXi/vCenter, манипулируют vmx и злоупотребляют VMware Tools/PowerCLI (CVE-2023-20867) для запуска закодированных PowerShell и создания моментальных снимков памяти. Они переключаются через прокси-серверы портов/каналы управления, подавляют телеметрию (уничтожают vmdird/vmsyslogd, vmx -x) с помощью таких индикаторов, как активность vim-cmd/esxcli, новые двоичные файлы в путях, доступных для записи, и родительский cmd/PowerShell с использованием vmtoolsd.
-----
Fire Ant — это целенаправленная шпионская кампания, направленная на виртуализацию и сетевую инфраструктуру — в первую очередь VMware vCenter, ESXi hosts и средства балансировки нагрузки F5, - использующая доступ на уровне гипервизора для достижения долговременной, незаметной закрепления и межсегментного перемещения внутри компании. Первоначальный компромисс использует CVE-2023-34048 (запись за пределы vCenter DCERPC, приводящая к неавторизованному RCE) и злоупотребляет F5 IControl REST через CVE-2022-1388 для развертывания промежуточной Веб-шелл (/usr/local/www/xui/common/css/css.php ). Деятельность после компромисса демонстрирует сильное совпадение с инструментами и целями UNC3886.
Получив контроль над vCenter, актор извлекает учетные данные учетной записи службы vpxuser для аутентификации на подключенных хостах ESXi, развертывает несколько постоянных бэкдоров как на ESXi, так и на vCenter и манипулирует процессом VMX, чтобы получить привилегированный контроль над гостями. Злоупотребление VMware Tools/PowerCLI (CVE-2023-20867) и командлетом Invoke-VMScript используется для выполнения закодированного PowerShell внутри гостевой системы без проверки подлинности в гостевой системе. Актор также извлекает учетные данные и секреты из моментальных снимков памяти, включая данные контроллера домена, и регулярно изменяет двоичные файлы, чтобы избежать обнаружения и восстановить доступ после исправления.
Тактика обхода сегментации сети включает создание избыточных туннелей и ретрансляций через доверенные конечные точки: использование netsh portproxy для перенаправления портов на серверах/рабочих станциях администраторов, встраивание туннелей в критически важную инфраструктуру и использование законных каналов управления для доступа к средам с ограниченным доступом. Злоумышленники намеренно используют характеристики гипервизора для остановки или подавления телеметрии (например, завершают работу vmdird или vmsyslogd, чтобы остановить переадресацию системного журнала) и запускают виртуальные машины напрямую с помощью vmx -x, чтобы избежать инвентаризации и видимости vCenter.
Наблюдаемые технические индикаторы включают внезапное завершение работы vmdird/vmsyslogd и сбои системного журнала, неожиданный снимок vim-cmd/esxcli или команды управления хостом, новые двоичные файлы, выполняемые по путям, доступным для записи (/tmp, /scratch), загрузка vmx -x, происхождение гостевого cmd.exe или powershell.exe от vmtoolsd.exe , и агенты EDR на виртуальных машинах не могут регистрируйтесь, несмотря на активное состояние виртуальной машины. Основное внимание при обнаружении должно быть уделено протоколированию/пересылке на уровне гипервизора, базированию процессов на ESXi, мониторингу шаблонов выполнения от хоста к гостю и сопоставлению инвентаризации виртуальных машин с телеметрией EDR для выявления несанкционированного доступа.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Fire Ant нацелен на VMware vCenter/ESXi и F5, используя CVE-2023-34048 и CVE-2022-1388 для доступа на уровне гипервизора и промежуточной обработки Веб-шелла. Операторы крадут учетные данные пользователя vpx, внедряют постоянные бэкдоры ESXi/vCenter, манипулируют vmx и злоупотребляют VMware Tools/PowerCLI (CVE-2023-20867) для запуска закодированных PowerShell и создания моментальных снимков памяти. Они переключаются через прокси-серверы портов/каналы управления, подавляют телеметрию (уничтожают vmdird/vmsyslogd, vmx -x) с помощью таких индикаторов, как активность vim-cmd/esxcli, новые двоичные файлы в путях, доступных для записи, и родительский cmd/PowerShell с использованием vmtoolsd.
-----
Fire Ant — это целенаправленная шпионская кампания, направленная на виртуализацию и сетевую инфраструктуру — в первую очередь VMware vCenter, ESXi hosts и средства балансировки нагрузки F5, - использующая доступ на уровне гипервизора для достижения долговременной, незаметной закрепления и межсегментного перемещения внутри компании. Первоначальный компромисс использует CVE-2023-34048 (запись за пределы vCenter DCERPC, приводящая к неавторизованному RCE) и злоупотребляет F5 IControl REST через CVE-2022-1388 для развертывания промежуточной Веб-шелл (/usr/local/www/xui/common/css/css.php ). Деятельность после компромисса демонстрирует сильное совпадение с инструментами и целями UNC3886.
Получив контроль над vCenter, актор извлекает учетные данные учетной записи службы vpxuser для аутентификации на подключенных хостах ESXi, развертывает несколько постоянных бэкдоров как на ESXi, так и на vCenter и манипулирует процессом VMX, чтобы получить привилегированный контроль над гостями. Злоупотребление VMware Tools/PowerCLI (CVE-2023-20867) и командлетом Invoke-VMScript используется для выполнения закодированного PowerShell внутри гостевой системы без проверки подлинности в гостевой системе. Актор также извлекает учетные данные и секреты из моментальных снимков памяти, включая данные контроллера домена, и регулярно изменяет двоичные файлы, чтобы избежать обнаружения и восстановить доступ после исправления.
Тактика обхода сегментации сети включает создание избыточных туннелей и ретрансляций через доверенные конечные точки: использование netsh portproxy для перенаправления портов на серверах/рабочих станциях администраторов, встраивание туннелей в критически важную инфраструктуру и использование законных каналов управления для доступа к средам с ограниченным доступом. Злоумышленники намеренно используют характеристики гипервизора для остановки или подавления телеметрии (например, завершают работу vmdird или vmsyslogd, чтобы остановить переадресацию системного журнала) и запускают виртуальные машины напрямую с помощью vmx -x, чтобы избежать инвентаризации и видимости vCenter.
Наблюдаемые технические индикаторы включают внезапное завершение работы vmdird/vmsyslogd и сбои системного журнала, неожиданный снимок vim-cmd/esxcli или команды управления хостом, новые двоичные файлы, выполняемые по путям, доступным для записи (/tmp, /scratch), загрузка vmx -x, происхождение гостевого cmd.exe или powershell.exe от vmtoolsd.exe , и агенты EDR на виртуальных машинах не могут регистрируйтесь, несмотря на активное состояние виртуальной машины. Основное внимание при обнаружении должно быть уделено протоколированию/пересылке на уровне гипервизора, базированию процессов на ESXi, мониторингу шаблонов выполнения от хоста к гостю и сопоставлению инвентаризации виртуальных машин с телеметрией EDR для выявления несанкционированного доступа.
#ParsedReport #CompletenessMedium
14-08-2025
APT-C-36 (Blind Eagle) organization upgrades its confrontational methods in new attack activities
https://www.ctfiot.com/264723.html
Report completeness: Medium
Actors/Campaigns:
Blindeagle
Threats:
Dcrat
Sandbox_evasion_technique
Process_hollowing_technique
Victims:
Government departments, Finance sector, Insurance sector, Large companies
Industry:
Government, Financial
Geo:
Chile, America, Panama, Ecuador, Spanish, Colombia
ChatGPT TTPs:
T1055, T1204.002, T1219, T1566.001, T1574.002
IOCs:
File: 6
Path: 1
Domain: 1
Hash: 3
IP: 1
Soft:
WeChat
Algorithms:
aes-256
Win API:
EnumSystemFirmwareTables, NtAllocateVirtualMemoryRtlAllocateHeapNtWriteVirtualMemoryResumeThread
Languages:
c_language
14-08-2025
APT-C-36 (Blind Eagle) organization upgrades its confrontational methods in new attack activities
https://www.ctfiot.com/264723.html
Report completeness: Medium
Actors/Campaigns:
Blindeagle
Threats:
Dcrat
Sandbox_evasion_technique
Process_hollowing_technique
Victims:
Government departments, Finance sector, Insurance sector, Large companies
Industry:
Government, Financial
Geo:
Chile, America, Panama, Ecuador, Spanish, Colombia
ChatGPT TTPs:
do not use without manual checkT1055, T1204.002, T1219, T1566.001, T1574.002
IOCs:
File: 6
Path: 1
Domain: 1
Hash: 3
IP: 1
Soft:
Algorithms:
aes-256
Win API:
EnumSystemFirmwareTables, NtAllocateVirtualMemoryRtlAllocateHeapNtWriteVirtualMemoryResumeThread
Languages:
c_language
CTF导航
APT-C-36(盲眼鹰)组织在新攻击活动中升级对抗手段 | CTF导航
APT-C-36 盲眼鹰APT-C-36(盲眼鹰)是一个疑似来自南美洲的APT组织,主要目标位于哥伦比亚境内,以及南美洲的一些国家和地区,如厄瓜多尔、智利和巴拿马等。该组织自2018年被发现以来,持续发起针对以...
CTT Report Hub
#ParsedReport #CompletenessMedium 14-08-2025 APT-C-36 (Blind Eagle) organization upgrades its confrontational methods in new attack activities https://www.ctfiot.com/264723.html Report completeness: Medium Actors/Campaigns: Blindeagle Threats: Dcrat …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Сложная целенаправленная атака ‑ C‑36 (он же Blind Eagle), действующая по меньшей мере с 2018 года и сосредоточенная на Колумбии с операциями в Эквадоре, Чили и Панаме, нацелена на правительство, финансовые/страховые компании и крупные предприятия. Вторжения начинаются с подводной охоты / электронной почты-приманки, которая обманом заставляет пользователей загружать и запускать исполняемый файл, который, в свою очередь, загружает вредоносную DLL-библиотеку, содержащую встроенный код полезной нагрузки. Конечная полезная нагрузка - DcRAT, развертываемая с помощью Внедрения кода в процесс в законный процесс для скрытого удаленного доступа; наблюдаемые TTP включают первоначальный доступ к электронной почте, загрузку EXE→DLL/побочную загрузку и Внедрение кода в процесс, согласующееся с активностью сложной целенаправленной атаки‑C‑36.
-----
APT-C-36 (он же Blind Eagle) – это сложная целенаправленная атака, связанная с Южной Америкой, действующая, по крайней мере, с 2018 года, с основным нацеливанием на Колумбию и дополнительными операциями в Эквадоре, Чили и Панаме. Основными целями являются правительственные ведомства, финансовый и страховой секторы, а также крупные предприятия в этих регионах.
Наблюдаемая цепочка вторжений начинается с файла приманки для подводной охоты/отправленного по электронной почте. Пользователя обманом заставляют загрузить и запустить исполняемый файл, помещенный в папку; этот исполняемый файл впоследствии загружает вредоносную библиотеку динамических ссылок (DLL), которая выполняет встроенный вредоносный код. Полезная нагрузка заключительного этапа сообщается как DcRAT, которая развертывается путем внедрения RAT в законный процесс для обеспечения выполнения кода и удаленного управления хостом. Описанные методы соответствуют первоначальному доступу, требующему взаимодействия с пользователем, загрузке библиотеки DLL/боковой загрузке в качестве механизма загрузки и Внедрению кода в процесс для скрытого выполнения Trojan.
TTP, на которые следует обратить внимание: электронная почта в качестве вектора первоначального доступа, выполнение удаленного исполняемого файла, который ссылается на вредоносную DLL‑библиотеку (метод загрузки DLL/боковой загрузки), и выполнение после компрометации с помощью Внедрения кода в процесс DcRAT для получения постоянного удаленного управления. Шаблоны таргетинга и инструментария поддерживают присвоение этих операций имени сложной целенаправленной атаки‑C‑36.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Сложная целенаправленная атака ‑ C‑36 (он же Blind Eagle), действующая по меньшей мере с 2018 года и сосредоточенная на Колумбии с операциями в Эквадоре, Чили и Панаме, нацелена на правительство, финансовые/страховые компании и крупные предприятия. Вторжения начинаются с подводной охоты / электронной почты-приманки, которая обманом заставляет пользователей загружать и запускать исполняемый файл, который, в свою очередь, загружает вредоносную DLL-библиотеку, содержащую встроенный код полезной нагрузки. Конечная полезная нагрузка - DcRAT, развертываемая с помощью Внедрения кода в процесс в законный процесс для скрытого удаленного доступа; наблюдаемые TTP включают первоначальный доступ к электронной почте, загрузку EXE→DLL/побочную загрузку и Внедрение кода в процесс, согласующееся с активностью сложной целенаправленной атаки‑C‑36.
-----
APT-C-36 (он же Blind Eagle) – это сложная целенаправленная атака, связанная с Южной Америкой, действующая, по крайней мере, с 2018 года, с основным нацеливанием на Колумбию и дополнительными операциями в Эквадоре, Чили и Панаме. Основными целями являются правительственные ведомства, финансовый и страховой секторы, а также крупные предприятия в этих регионах.
Наблюдаемая цепочка вторжений начинается с файла приманки для подводной охоты/отправленного по электронной почте. Пользователя обманом заставляют загрузить и запустить исполняемый файл, помещенный в папку; этот исполняемый файл впоследствии загружает вредоносную библиотеку динамических ссылок (DLL), которая выполняет встроенный вредоносный код. Полезная нагрузка заключительного этапа сообщается как DcRAT, которая развертывается путем внедрения RAT в законный процесс для обеспечения выполнения кода и удаленного управления хостом. Описанные методы соответствуют первоначальному доступу, требующему взаимодействия с пользователем, загрузке библиотеки DLL/боковой загрузке в качестве механизма загрузки и Внедрению кода в процесс для скрытого выполнения Trojan.
TTP, на которые следует обратить внимание: электронная почта в качестве вектора первоначального доступа, выполнение удаленного исполняемого файла, который ссылается на вредоносную DLL‑библиотеку (метод загрузки DLL/боковой загрузки), и выполнение после компрометации с помощью Внедрения кода в процесс DcRAT для получения постоянного удаленного управления. Шаблоны таргетинга и инструментария поддерживают присвоение этих операций имени сложной целенаправленной атаки‑C‑36.
#ParsedReport #CompletenessMedium
14-08-2025
PhantomCard: New NFC-driven Android malware emerging in Brazil
https://www.threatfabric.com/blogs/phantomcard-new-nfc-driven-android-malware-emerging-in-brazil
Report completeness: Medium
Threats:
Phantomcard
Nfskate
Ngate
Ghost_tap_technique
Supercard-x
Nfcgate_tool
Btmob_rat
Ghostspy
Chrysaor
Rocinante
Victims:
Mobile users
Industry:
Financial
Geo:
Portuguese, Chinese, Brazilian, Brazil
ChatGPT TTPs:
T1410, T1475
IOCs:
Hash: 2
Soft:
Android, Google Play, Telegram
14-08-2025
PhantomCard: New NFC-driven Android malware emerging in Brazil
https://www.threatfabric.com/blogs/phantomcard-new-nfc-driven-android-malware-emerging-in-brazil
Report completeness: Medium
Threats:
Phantomcard
Nfskate
Ngate
Ghost_tap_technique
Supercard-x
Nfcgate_tool
Btmob_rat
Ghostspy
Chrysaor
Rocinante
Victims:
Mobile users
Industry:
Financial
Geo:
Portuguese, Chinese, Brazilian, Brazil
ChatGPT TTPs:
do not use without manual checkT1410, T1475
IOCs:
Hash: 2
Soft:
Android, Google Play, Telegram
ThreatFabric
PhantomCard: New NFC-driven Android malware emerging in Brazil 🇧🇷
PhantomCard is a sophisticated Android malware leveraging NFC relaying techniques.
CTT Report Hub
#ParsedReport #CompletenessMedium 14-08-2025 PhantomCard: New NFC-driven Android malware emerging in Brazil https://www.threatfabric.com/blogs/phantomcard-new-nfc-driven-android-malware-emerging-in-brazil Report completeness: Medium Threats: Phantomcard…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PhantomCard - это семейство Android-вредоносных ПО на базе NFC, обнаруженное в Бразилии, связанное с NFSkate (NGate) и Ghost Tap. Это ставит под угрозу Аппаратное обеспечение / программное обеспечение NFC устройства для захвата, эмуляции или пересылки бесконтактных обменов картами, связывая взаимодействия NFC с сетевыми каналами для ретрансляции транзакций с использованием карты на удаленные конечные точки. Постоянные нарушения привилегий и доступности поддерживают NFC активным в фоновом режиме, чтобы избежать проверок на близость и включить удаленные платежи / клонирование карт.
-----
PhantomCard описывается как новое семейство вредоносных ПО для Android, основанное на NFC, обнаруженное в Бразилии, продолжающее наблюдаемую тенденцию угроз с использованием NFC-ретрансляции, нацеленных на экосистемы бесконтактных платежей. Разведка связывает PhantomCard с родословной, которая включает в себя NFSkate (он же NGate), впервые идентифицированную в марте 2024 года, и Ghost Tap, что ознаменовало дальнейшую эволюцию в использовании злоумышленниками методов ретрансляции NFC для операций по обналичиванию финансовых средств. Эти инциденты указывают на то, что киберпреступники уделяют все больше внимания злоупотреблению возможностями мобильной NFC для устранения требования физической близости при бесконтактных транзакциях.
Технически кампании NFC-ретрансляции используют скомпрометированное Аппаратное обеспечение NFC и программный стек Android-устройства для захвата, пересылки или эмуляции взаимодействий с бесконтактными картами удаленному актору или конечной точке. Типичное поведение вредоносного ПО этого класса включает активацию или поддержание служб NFC в фоновом режиме, объединение взаимодействий NFC с сетевыми каналами для ретрансляции обмена данными с использованием карт, а также использование постоянных привилегий или Специальных возможностей для сохранения работоспособности, избегая уведомления пользователя. Основная цель, наблюдаемая в родственных семьях, заключается в устранении проверок на близость, присущих бесконтактным платежам, что позволяет инициировать удаленный платеж или клонировать карту для снятия наличных. Основные моменты обнаружения и смягчения последствий включают аномальную фоновую активность NFC на пользовательских устройствах, неожиданные сетевые подключения, исходящие от устройств во время событий NFC, и наличие неизвестных приложений, запрашивающих разрешения, связанные с NFC, или закрепление на переднем плане. Мониторинг этого класса угроз остается важным по мере того, как методы совершенствуются и распространяются географически.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PhantomCard - это семейство Android-вредоносных ПО на базе NFC, обнаруженное в Бразилии, связанное с NFSkate (NGate) и Ghost Tap. Это ставит под угрозу Аппаратное обеспечение / программное обеспечение NFC устройства для захвата, эмуляции или пересылки бесконтактных обменов картами, связывая взаимодействия NFC с сетевыми каналами для ретрансляции транзакций с использованием карты на удаленные конечные точки. Постоянные нарушения привилегий и доступности поддерживают NFC активным в фоновом режиме, чтобы избежать проверок на близость и включить удаленные платежи / клонирование карт.
-----
PhantomCard описывается как новое семейство вредоносных ПО для Android, основанное на NFC, обнаруженное в Бразилии, продолжающее наблюдаемую тенденцию угроз с использованием NFC-ретрансляции, нацеленных на экосистемы бесконтактных платежей. Разведка связывает PhantomCard с родословной, которая включает в себя NFSkate (он же NGate), впервые идентифицированную в марте 2024 года, и Ghost Tap, что ознаменовало дальнейшую эволюцию в использовании злоумышленниками методов ретрансляции NFC для операций по обналичиванию финансовых средств. Эти инциденты указывают на то, что киберпреступники уделяют все больше внимания злоупотреблению возможностями мобильной NFC для устранения требования физической близости при бесконтактных транзакциях.
Технически кампании NFC-ретрансляции используют скомпрометированное Аппаратное обеспечение NFC и программный стек Android-устройства для захвата, пересылки или эмуляции взаимодействий с бесконтактными картами удаленному актору или конечной точке. Типичное поведение вредоносного ПО этого класса включает активацию или поддержание служб NFC в фоновом режиме, объединение взаимодействий NFC с сетевыми каналами для ретрансляции обмена данными с использованием карт, а также использование постоянных привилегий или Специальных возможностей для сохранения работоспособности, избегая уведомления пользователя. Основная цель, наблюдаемая в родственных семьях, заключается в устранении проверок на близость, присущих бесконтактным платежам, что позволяет инициировать удаленный платеж или клонировать карту для снятия наличных. Основные моменты обнаружения и смягчения последствий включают аномальную фоновую активность NFC на пользовательских устройствах, неожиданные сетевые подключения, исходящие от устройств во время событий NFC, и наличие неизвестных приложений, запрашивающих разрешения, связанные с NFC, или закрепление на переднем плане. Мониторинг этого класса угроз остается важным по мере того, как методы совершенствуются и распространяются географически.
#ParsedReport #CompletenessLow
14-08-2025
Setting the stage
https://profero.io/blog/from-drone-strike-to-file-recovery-outsmarting-a-nation-state
Report completeness: Low
Actors/Campaigns:
Darkbit
Victims:
Ammunition factory, Oil refinery, Oil facility, Esxi servers, Enterprise organization
Industry:
Petroleum
Geo:
Iran, Israel, Iranian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1486
IOCs:
Hash: 2
File: 1
Soft:
Telegram, ESXi, esxcli, Unix
Algorithms:
sha256, md5, base64, aes, aes-128-cbc, rsa-2048
Functions:
time
Win Services:
bits
14-08-2025
Setting the stage
https://profero.io/blog/from-drone-strike-to-file-recovery-outsmarting-a-nation-state
Report completeness: Low
Actors/Campaigns:
Darkbit
Victims:
Ammunition factory, Oil refinery, Oil facility, Esxi servers, Enterprise organization
Industry:
Petroleum
Geo:
Iran, Israel, Iranian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1486
IOCs:
Hash: 2
File: 1
Soft:
Telegram, ESXi, esxcli, Unix
Algorithms:
sha256, md5, base64, aes, aes-128-cbc, rsa-2048
Functions:
time
Win Services:
bits
profero.io
From Drone Strike to File Recovery: Outsmarting a Nation State
Walk through our investigation workflow, cryptographic analysis, and end-to-end data-recovery strategy, proving that "encrypted" doesn't mean unrecoverable
CTT Report Hub
#ParsedReport #CompletenessLow 14-08-2025 Setting the stage https://profero.io/blog/from-drone-strike-to-file-recovery-outsmarting-a-nation-state Report completeness: Low Actors/Campaigns: Darkbit Victims: Ammunition factory, Oil refinery, Oil facility…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
esxi.darkbit - это программа-вымогатель на C++, использующая Crypto++, которая нацелена на VMDK, подключенные к ESXi VMFS, выдает esxcli для остановки виртуальных машин и шифрует каждый файл уникальным ключом AES-128 /IV (16-байтовым), пары ключей AES / IV которого зашифрованы RSA с помощью встроенного открытого ключа и прилагаемого к файлам. Он использует выборочное / фрагментированное шифрование (небольшие файлы: блоки размером 0x100000 байт, пропускающие 0xA00000; большие файлы: блоки размером 0x200000 с пропуском =(РАЗМЕР файла /0x32)-0x200000), оставляя значительные незашифрованные области и некоторые VMDK, показывающие следы повреждения / очистки, подобные следам wiper. Слабые шаблоны генерации RNG/ключей позволяли восстанавливать AES-ключи для каждого файла методом грубой силы, а разреженная структура VMDK позволяла восстанавливать многие внутренние файлы без расшифровки.
-----
28 января 2023 года инфраструктура ESXi организации подверглась атаке вируса-вымогателя, идентифицированного как "esxi.darkbit", инструмент C++, который использует библиотеку Crypto++ и предназначен для шифрования образов дисков виртуальных машин при монтировании в VMFS. Перед шифрованием вредоносное ПО выдает команды esxcli для остановки всех виртуальных машин. Каждый файл зашифрован с помощью уникального ключа AES и IV (16-байтовые ключи AES), и эти пары ключей AES/IV для каждого файла шифруются RSA с использованием открытого ключа, встроенного в образец (ASN.1 RSA, кодировка base64) и добавляются к зашифрованным файлам.
Шифрование осуществляется по частям, а не по полному файлу. Для файлов размером менее 0x640000 байт (\~6,55 МБ) процедура шифрует фрагменты размером 0x100000 байт и пропускает 0xA00000 байт между зашифрованными сегментами. Для файлов большего размера вредоносное ПО шифрует фрагменты размером 0x200000 байт и вычисляет размер пропуска как (FILESIZE / 0x32) - 0x200000. Этот выборочный/фрагментированный подход оставил значительные незашифрованные области в VMDKS. В нескольких файлах VMDK также были обнаружены следы, соответствующие повреждению или активности, подобной wiper.
Слабые места в реализации были использованы в ходе операций реагирования. Заполнение RNG-кода вредоносным ПО и генерация ключей содержали идентифицируемые шаблоны, которые позволяли использовать методы грубой силы против ключей AES для каждого файла. Кроме того, поскольку файлы VMDK разрежены, многие файлы уровня файловой системы внутри образов виртуальных дисков оставались восстанавливаемыми без расшифровки; исследователи прошлись по внутренним файловым системам VMDK и восстановили множество неповрежденных файлов непосредственно из незашифрованных областей.
Ключевые технические выводы: esxi.darkbit нацелен на VMDK, подключенные к VMFS, останавливает виртуальные машины через esxcli, использует AES-128 для каждого файла с ключами AES в RSA-оболочке, добавляемыми к файлам, и использует фрагментированное шифрование, которое оставляет пробелы, которые можно восстановить. Недостатки реализации в управлении RNG/ключами и разреженный характер VMDK существенно снизили устойчивость программы-вымогателя к попыткам восстановления.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
esxi.darkbit - это программа-вымогатель на C++, использующая Crypto++, которая нацелена на VMDK, подключенные к ESXi VMFS, выдает esxcli для остановки виртуальных машин и шифрует каждый файл уникальным ключом AES-128 /IV (16-байтовым), пары ключей AES / IV которого зашифрованы RSA с помощью встроенного открытого ключа и прилагаемого к файлам. Он использует выборочное / фрагментированное шифрование (небольшие файлы: блоки размером 0x100000 байт, пропускающие 0xA00000; большие файлы: блоки размером 0x200000 с пропуском =(РАЗМЕР файла /0x32)-0x200000), оставляя значительные незашифрованные области и некоторые VMDK, показывающие следы повреждения / очистки, подобные следам wiper. Слабые шаблоны генерации RNG/ключей позволяли восстанавливать AES-ключи для каждого файла методом грубой силы, а разреженная структура VMDK позволяла восстанавливать многие внутренние файлы без расшифровки.
-----
28 января 2023 года инфраструктура ESXi организации подверглась атаке вируса-вымогателя, идентифицированного как "esxi.darkbit", инструмент C++, который использует библиотеку Crypto++ и предназначен для шифрования образов дисков виртуальных машин при монтировании в VMFS. Перед шифрованием вредоносное ПО выдает команды esxcli для остановки всех виртуальных машин. Каждый файл зашифрован с помощью уникального ключа AES и IV (16-байтовые ключи AES), и эти пары ключей AES/IV для каждого файла шифруются RSA с использованием открытого ключа, встроенного в образец (ASN.1 RSA, кодировка base64) и добавляются к зашифрованным файлам.
Шифрование осуществляется по частям, а не по полному файлу. Для файлов размером менее 0x640000 байт (\~6,55 МБ) процедура шифрует фрагменты размером 0x100000 байт и пропускает 0xA00000 байт между зашифрованными сегментами. Для файлов большего размера вредоносное ПО шифрует фрагменты размером 0x200000 байт и вычисляет размер пропуска как (FILESIZE / 0x32) - 0x200000. Этот выборочный/фрагментированный подход оставил значительные незашифрованные области в VMDKS. В нескольких файлах VMDK также были обнаружены следы, соответствующие повреждению или активности, подобной wiper.
Слабые места в реализации были использованы в ходе операций реагирования. Заполнение RNG-кода вредоносным ПО и генерация ключей содержали идентифицируемые шаблоны, которые позволяли использовать методы грубой силы против ключей AES для каждого файла. Кроме того, поскольку файлы VMDK разрежены, многие файлы уровня файловой системы внутри образов виртуальных дисков оставались восстанавливаемыми без расшифровки; исследователи прошлись по внутренним файловым системам VMDK и восстановили множество неповрежденных файлов непосредственно из незашифрованных областей.
Ключевые технические выводы: esxi.darkbit нацелен на VMDK, подключенные к VMFS, останавливает виртуальные машины через esxcli, использует AES-128 для каждого файла с ключами AES в RSA-оболочке, добавляемыми к файлам, и использует фрагментированное шифрование, которое оставляет пробелы, которые можно восстановить. Недостатки реализации в управлении RNG/ключами и разреженный характер VMDK существенно снизили устойчивость программы-вымогателя к попыткам восстановления.
#ParsedReport #CompletenessLow
14-08-2025
A Coordinated Response to MadeYouReset HTTP/2 Protocol Attacks
https://www.akamai.com/blog/security/2025/aug/response-madeyoureset-http2-protocol-attacks
Report completeness: Low
Threats:
Madeyoureset_technique
Victims:
Internet infrastructure, Server operators
CVEs:
CVE-2023-44487 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ietf http (2.0)
ChatGPT TTPs:
T1498, T1498.002
14-08-2025
A Coordinated Response to MadeYouReset HTTP/2 Protocol Attacks
https://www.akamai.com/blog/security/2025/aug/response-madeyoureset-http2-protocol-attacks
Report completeness: Low
Threats:
Madeyoureset_technique
Victims:
Internet infrastructure, Server operators
CVEs:
CVE-2023-44487 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ietf http (2.0)
ChatGPT TTPs:
do not use without manual checkT1498, T1498.002
Akamai
A Coordinated Response to MadeYouReset HTTP/2 Protocol Attacks | Akamai
Learn about the MadeYouReset HTTP/2 protocol attack and get insights on the coordinated vulnerability disclosure to enhance online security.
CTT Report Hub
#ParsedReport #CompletenessLow 14-08-2025 A Coordinated Response to MadeYouReset HTTP/2 Protocol Attacks https://www.akamai.com/blog/security/2025/aug/response-madeyoureset-http2-protocol-attacks Report completeness: Low Threats: Madeyoureset_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
MadeYouReset - это злоупотребление на уровне протокола HTTP/2, при котором злоумышленники отправляют намеренно искаженные управляющие фреймы для принудительного сброса потока на стороне сервера, а затем немедленно открывают новые потоки до завершения обработки сброса, что приводит к быстрому оттоку потока и повторному распределению/очистке. Эта гонка / цикл эффективно истощает ресурсы для каждого соединения и сервера (параллельные потоки, память, процессор, операции ввода-вывода), позволяя проводить DDoS-атаки L7 с низкой пропускной способностью; аналогичное поведение, требуемое протоколом, также возможно в QUIC/HTTP/3.
-----
MadeYouReset - это злоупотребление на уровне протокола HTTP/2, основанное на более ранней кампании быстрого сброса HTTP/2 (CVE-2023-44487), которая использовалась для крупных DDoS-атак уровня 7. Основной метод заключается в отправке заведомо неверных управляющих сообщений (искаженных управляющих фреймов), которые, согласно спецификации HTTP/2, заставляют сервер сбросить соответствующий поток. Злоумышленники используют предписанное поведение сервера и жизненный цикл потока: после выполнения сброса клиент—злоумышленник может немедленно открыть дополнительные потоки — даже до того, как клиент заметит, что сервер выполняет сброс, - что приводит к быстрому оттоку потока и повторному распределению/очистке на стороне сервера. Эта гонка/цикл обеспечивает эффективное использование ресурсов для каждого соединения и каждого сервера (параллельные потоки, память, центральный процессор и операции ввода-вывода) без необходимости использования злоумышленником большой полосы пропускания, что делает ее эффективной при отказе в обслуживании на прикладном уровне.
Процесс раскрытия информации отражал ответственное скоординированное раскрытие информации, используемое для решения проблем на уровне протокола в QUIC/HTTP/3: исследователи в частном порядке делились результатами с несколькими реализациями, позволяя поставщикам подтвердить существующие меры по устранению неполадок или подготовить исправления до публичного объявления. В QUIC были выявлены связанные с этим проблемы, связанные с механизмами проверки пути и идентификатора соединения, когда поведение, требуемое протоколом, может быть аналогичным образом нарушено, что приводит к дорогостоящей обработке на стороне сервера или недопустимым переходам состояний. Разработчикам следует проверить обработку потока/состояния на наличие недопустимых управляющих фреймов, обеспечить защиту ограничений и семантики быстрого сбоя от быстрого переключения потока и применить исправления поставщика, устраняющие эти нарушения протокола. Akamai сообщила, что ее реализация HTTP/2 не была уязвима для варианта MadeYouReset.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
MadeYouReset - это злоупотребление на уровне протокола HTTP/2, при котором злоумышленники отправляют намеренно искаженные управляющие фреймы для принудительного сброса потока на стороне сервера, а затем немедленно открывают новые потоки до завершения обработки сброса, что приводит к быстрому оттоку потока и повторному распределению/очистке. Эта гонка / цикл эффективно истощает ресурсы для каждого соединения и сервера (параллельные потоки, память, процессор, операции ввода-вывода), позволяя проводить DDoS-атаки L7 с низкой пропускной способностью; аналогичное поведение, требуемое протоколом, также возможно в QUIC/HTTP/3.
-----
MadeYouReset - это злоупотребление на уровне протокола HTTP/2, основанное на более ранней кампании быстрого сброса HTTP/2 (CVE-2023-44487), которая использовалась для крупных DDoS-атак уровня 7. Основной метод заключается в отправке заведомо неверных управляющих сообщений (искаженных управляющих фреймов), которые, согласно спецификации HTTP/2, заставляют сервер сбросить соответствующий поток. Злоумышленники используют предписанное поведение сервера и жизненный цикл потока: после выполнения сброса клиент—злоумышленник может немедленно открыть дополнительные потоки — даже до того, как клиент заметит, что сервер выполняет сброс, - что приводит к быстрому оттоку потока и повторному распределению/очистке на стороне сервера. Эта гонка/цикл обеспечивает эффективное использование ресурсов для каждого соединения и каждого сервера (параллельные потоки, память, центральный процессор и операции ввода-вывода) без необходимости использования злоумышленником большой полосы пропускания, что делает ее эффективной при отказе в обслуживании на прикладном уровне.
Процесс раскрытия информации отражал ответственное скоординированное раскрытие информации, используемое для решения проблем на уровне протокола в QUIC/HTTP/3: исследователи в частном порядке делились результатами с несколькими реализациями, позволяя поставщикам подтвердить существующие меры по устранению неполадок или подготовить исправления до публичного объявления. В QUIC были выявлены связанные с этим проблемы, связанные с механизмами проверки пути и идентификатора соединения, когда поведение, требуемое протоколом, может быть аналогичным образом нарушено, что приводит к дорогостоящей обработке на стороне сервера или недопустимым переходам состояний. Разработчикам следует проверить обработку потока/состояния на наличие недопустимых управляющих фреймов, обеспечить защиту ограничений и семантики быстрого сбоя от быстрого переключения потока и применить исправления поставщика, устраняющие эти нарушения протокола. Akamai сообщила, что ее реализация HTTP/2 не была уязвима для варианта MadeYouReset.
#ParsedReport #CompletenessMedium
14-08-2025
This 'SAP Ariba Quote' Isn't What It SeemsIt's Ransomware
https://cofense.com/blog/this-sap-ariba-quote-isn-t-what-it-seems-it-s-ransomware
Report completeness: Medium
Threats:
Wannacry
Eternal_petya
Leeme
Winrm_tool
Victims:
Enterprises, Email users
Industry:
Financial
Geo:
Portuguese, Italian
ChatGPT TTPs:
T1005, T1027, T1056, T1056.001, T1059.006, T1204.001, T1486, T1555, T1566.002, T1566.003, have more...
IOCs:
File: 1
Url: 1
IP: 2
Hash: 8
Soft:
SAP Ariba, ProtonMail, Telegram, Windows Defender
Crypto:
bitcoin
Algorithms:
md5, zip, aes-256, sha256
14-08-2025
This 'SAP Ariba Quote' Isn't What It SeemsIt's Ransomware
https://cofense.com/blog/this-sap-ariba-quote-isn-t-what-it-seems-it-s-ransomware
Report completeness: Medium
Threats:
Wannacry
Eternal_petya
Leeme
Winrm_tool
Victims:
Enterprises, Email users
Industry:
Financial
Geo:
Portuguese, Italian
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1056, T1056.001, T1059.006, T1204.001, T1486, T1555, T1566.002, T1566.003, have more...
IOCs:
File: 1
Url: 1
IP: 2
Hash: 8
Soft:
SAP Ariba, ProtonMail, Telegram, Windows Defender
Crypto:
bitcoin
Algorithms:
md5, zip, aes-256, sha256
Cofense
This 'SAP Ariba Quote' Isn't What It Seems—It's Ransomware
Ransomware has long been a staple among threat actors, and the attacks often garner large media coverage. Ransomwares such as WannaCry and NotPetya dominated both the cyber news and broader reporting
CTT Report Hub
#ParsedReport #CompletenessMedium 14-08-2025 This 'SAP Ariba Quote' Isn't What It SeemsIt's Ransomware https://cofense.com/blog/this-sap-ariba-quote-isn-t-what-it-seems-it-s-ransomware Report completeness: Medium Threats: Wannacry Eternal_petya Leeme Winrm_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Скомпрометированные учетные записи отправителей распространяли LeeMe через электронные письма в стиле SAP Ariba, которые содержат ссылки на защищенные паролем архивы в файлообменных сервисах, чтобы обойти "песочницы". Модуль программы-вымогателя на Python lock_screen_crypto.py шифрует выбранные расширения на всех дисках, исключая системные файлы Windows. Дополнительные компоненты выполняют кражу учетных данных и захват нажатий клавиш через pynput с настраиваемыми SENSITIVE_TRIGGERS для целевого ведения журнала и эксфильтрации.
-----
Скомпрометированная учетная запись отправителя использовалась для распространения программы-вымогателя LeeMe с помощью электронных приманок, выдающих себя за предложение SAP Ariba. Сообщения содержат встроенную ссылку на анонимный файлообменный сервис, в котором размещен предполагаемый архив “инструмента”, и содержат пароль для расшифровки в тексте письма. Использование защищенных паролем архивов используется для того, чтобы избежать автоматического анализа в изолированной среде. Сердечный, не угрожающий язык электронного письма и Имперсонация поставщика ‑ это элементы социальной инженерии, призванные снизить подозрительность получателя.
Компонент программы-вымогателя включает в себя модуль Python с именем lock_screen_crypto.py который реализует шифрование файлов. Образец содержит предопределенный список целевых расширений файлов и выполняется итерация по всем доступным дискам, чтобы зашифровать соответствующие файлы, явно избегая системных файлов Windows, сохраняя возможность загрузки системы. Заявленная цель ‑ классический крипто-вымогатель: сделать пользовательские файлы непригодными для использования до тех пор, пока не будет выплачен выкуп.
Помимо шифрования, LeeMe включает в себя кражу учетных данных и перехват нажатий клавиш. Функция Регистрации нажатий клавиш реализована с использованием библиотеки pynput для создания прослушивателя клавиатуры; ведение журнала может запускаться, когда жертва вводит элементы, найденные в настраиваемом списке SENSITIVE_TRIGGERS. Комбинированная функция кейлоггера/похитителя учетных данных поддерживает эксфильтрацию паролей, реквизитов платежных карт и других личных данных, увеличивая воздействие после заражения помимо шифрования файлов.
Взятая вместе, кампания сочетает в себе доставку скомпрометированных учетных записей, обход "песочницы" с помощью архивов с паролями, целевое шифрование файлов на дисках и скрытую эксфильтрацию учетных данных. Даже при относительно низком требовании выкупа наличие случаев кражи данных и Регистрации нажатий клавиш повышает риск причинения долгосрочного вреда жертвам в результате вторичного мошенничества, перепродажи данных или последующего вымогательства.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Скомпрометированные учетные записи отправителей распространяли LeeMe через электронные письма в стиле SAP Ariba, которые содержат ссылки на защищенные паролем архивы в файлообменных сервисах, чтобы обойти "песочницы". Модуль программы-вымогателя на Python lock_screen_crypto.py шифрует выбранные расширения на всех дисках, исключая системные файлы Windows. Дополнительные компоненты выполняют кражу учетных данных и захват нажатий клавиш через pynput с настраиваемыми SENSITIVE_TRIGGERS для целевого ведения журнала и эксфильтрации.
-----
Скомпрометированная учетная запись отправителя использовалась для распространения программы-вымогателя LeeMe с помощью электронных приманок, выдающих себя за предложение SAP Ariba. Сообщения содержат встроенную ссылку на анонимный файлообменный сервис, в котором размещен предполагаемый архив “инструмента”, и содержат пароль для расшифровки в тексте письма. Использование защищенных паролем архивов используется для того, чтобы избежать автоматического анализа в изолированной среде. Сердечный, не угрожающий язык электронного письма и Имперсонация поставщика ‑ это элементы социальной инженерии, призванные снизить подозрительность получателя.
Компонент программы-вымогателя включает в себя модуль Python с именем lock_screen_crypto.py который реализует шифрование файлов. Образец содержит предопределенный список целевых расширений файлов и выполняется итерация по всем доступным дискам, чтобы зашифровать соответствующие файлы, явно избегая системных файлов Windows, сохраняя возможность загрузки системы. Заявленная цель ‑ классический крипто-вымогатель: сделать пользовательские файлы непригодными для использования до тех пор, пока не будет выплачен выкуп.
Помимо шифрования, LeeMe включает в себя кражу учетных данных и перехват нажатий клавиш. Функция Регистрации нажатий клавиш реализована с использованием библиотеки pynput для создания прослушивателя клавиатуры; ведение журнала может запускаться, когда жертва вводит элементы, найденные в настраиваемом списке SENSITIVE_TRIGGERS. Комбинированная функция кейлоггера/похитителя учетных данных поддерживает эксфильтрацию паролей, реквизитов платежных карт и других личных данных, увеличивая воздействие после заражения помимо шифрования файлов.
Взятая вместе, кампания сочетает в себе доставку скомпрометированных учетных записей, обход "песочницы" с помощью архивов с паролями, целевое шифрование файлов на дисках и скрытую эксфильтрацию учетных данных. Даже при относительно низком требовании выкупа наличие случаев кражи данных и Регистрации нажатий клавиш повышает риск причинения долгосрочного вреда жертвам в результате вторичного мошенничества, перепродажи данных или последующего вымогательства.
#ParsedReport #CompletenessLow
14-08-2025
Malicious JavaScript Injects Fullscreen Iframe On a WordPress Website
https://blog.sucuri.net/2025/08/malicious-javascript-injects-fullscreen-iframe-on-a-wordpress-website.html
Report completeness: Low
Threats:
Fakecaptcha_technique
Victims:
Wordpress websites
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1059.007, T1105, T1189, T1204.001, T1592.004
IOCs:
Domain: 8
Url: 1
Command: 1
Soft:
WordPress, Chrome, Firefox, Opera
Algorithms:
base64
Languages:
php, javascript, powershell
14-08-2025
Malicious JavaScript Injects Fullscreen Iframe On a WordPress Website
https://blog.sucuri.net/2025/08/malicious-javascript-injects-fullscreen-iframe-on-a-wordpress-website.html
Report completeness: Low
Threats:
Fakecaptcha_technique
Victims:
Wordpress websites
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1059.007, T1105, T1189, T1204.001, T1592.004
IOCs:
Domain: 8
Url: 1
Command: 1
Soft:
WordPress, Chrome, Firefox, Opera
Algorithms:
base64
Languages:
php, javascript, powershell
Sucuri Blog
Malicious JavaScript Injects Fullscreen Iframe On a WordPress Website
Find out how malicious JavaScript injects suspicious content and affects website safety, revealing critical security concerns.
CTT Report Hub
#ParsedReport #CompletenessLow 14-08-2025 Malicious JavaScript Injects Fullscreen Iframe On a WordPress Website https://blog.sucuri.net/2025/08/malicious-javascript-injects-fullscreen-iframe-on-a-wordpress-website.html Report completeness: Low Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО JavaScript сохраняется в WordPress, сохраняя запутанную полезную нагрузку в wp_options (имя_опции=wpcode_snippets). Код Деобфускации загружает внешние домены (capcloud[.\]icu, wallpaper-engine[.\]pro) в принудительный полноэкранный iframe, использует дактилоскопию пользовательского агента для настройки Windows Chrome /Firefox/Edge/Opera и регулирует отображение при последующих посещениях. Он злоупотребляет хранилищем параметров для закрепления и уклоняется от обнаружения на основе файлов; IOCs включают запутанный JS в wp_options и сетевые запросы к этим доменам.
-----
Была обнаружена кампания вредоносного ПО на основе JavaScript, сохраняющаяся в состоянии базы данных WordPress, а не в виде очевидных файлов файловой системы: вредоносная полезная нагрузка хранилась в таблице wp_options в разделе option_name=wpcode_snippets. Введенный код сильно запутан и при Деобфускации содержит ссылки на внешние домены, используемые для размещения контента, загруженного в принудительный полноэкранный iframe. Один наблюдаемый домен обслуживает поддельную страницу Cloudflare “Подтвердите, что вы человек” (hxxps://capcloud[.\]icu/captcha.html ), что указывает на использование социальной инженерии и обмана пользовательского интерфейса для маскировки вредоносного контента.
Полезная нагрузка использует дактилоскопию пользовательского агента для выборочного таргетирования клиентов Windows, работающих в основных браузерах (Chrome, Firefox, Edge, Opera). На соответствующих клиентах скрипт накладывает полноэкранный iframe, который автоматически загружает внешнюю страницу. Сначала iframe отображается постоянно, но при последующих посещениях он отключается, чтобы уменьшить обнаружение и имитировать безобидное поведение. Внедрение использует законный механизм хранения плагинов (wpcode_snippets) для достижения закрепления и уклонения от простого обнаружения на основе файлов; это демонстрирует злоупотребление записями параметров WordPress в качестве вектора выполнения.
Индикаторами компрометации являются наличие неожиданного или запутанного JavaScript, хранящегося в wp_options (имя_опции=wpcode_snippets), и сетевые запросы к таким доменам, как capcloud[.\]icu и wallpaper-engine[.\]pro (домены, обнаруженные в полезных нагрузках с Деобфускацией). Обнаружение должно включать сканирование таблицы параметров на предмет внедренного содержимого скрипта и аномальных записей параметров, мониторинг исходящих запросов от веб-клиентов к подозрительным доменам и изучение шаблонов доступа для условных ответов на основе UA.
Меры по смягчению последствий включают обновление ядра WordPress, тем и плагинов; удаление или отключение плагинов, которые позволяют хранить / выполнять произвольный код с помощью параметров; отключение редактирования файлов в панели мониторинга; обеспечение строгой гигиены учетной записи администратора; развертывание WAF для блокировки внедрений скриптов и подозрительных исходящих перенаправлений; и внедрение автоматических оповещений о несанкционированном доступе к файловой системе и базе данных изменения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО JavaScript сохраняется в WordPress, сохраняя запутанную полезную нагрузку в wp_options (имя_опции=wpcode_snippets). Код Деобфускации загружает внешние домены (capcloud[.\]icu, wallpaper-engine[.\]pro) в принудительный полноэкранный iframe, использует дактилоскопию пользовательского агента для настройки Windows Chrome /Firefox/Edge/Opera и регулирует отображение при последующих посещениях. Он злоупотребляет хранилищем параметров для закрепления и уклоняется от обнаружения на основе файлов; IOCs включают запутанный JS в wp_options и сетевые запросы к этим доменам.
-----
Была обнаружена кампания вредоносного ПО на основе JavaScript, сохраняющаяся в состоянии базы данных WordPress, а не в виде очевидных файлов файловой системы: вредоносная полезная нагрузка хранилась в таблице wp_options в разделе option_name=wpcode_snippets. Введенный код сильно запутан и при Деобфускации содержит ссылки на внешние домены, используемые для размещения контента, загруженного в принудительный полноэкранный iframe. Один наблюдаемый домен обслуживает поддельную страницу Cloudflare “Подтвердите, что вы человек” (hxxps://capcloud[.\]icu/captcha.html ), что указывает на использование социальной инженерии и обмана пользовательского интерфейса для маскировки вредоносного контента.
Полезная нагрузка использует дактилоскопию пользовательского агента для выборочного таргетирования клиентов Windows, работающих в основных браузерах (Chrome, Firefox, Edge, Opera). На соответствующих клиентах скрипт накладывает полноэкранный iframe, который автоматически загружает внешнюю страницу. Сначала iframe отображается постоянно, но при последующих посещениях он отключается, чтобы уменьшить обнаружение и имитировать безобидное поведение. Внедрение использует законный механизм хранения плагинов (wpcode_snippets) для достижения закрепления и уклонения от простого обнаружения на основе файлов; это демонстрирует злоупотребление записями параметров WordPress в качестве вектора выполнения.
Индикаторами компрометации являются наличие неожиданного или запутанного JavaScript, хранящегося в wp_options (имя_опции=wpcode_snippets), и сетевые запросы к таким доменам, как capcloud[.\]icu и wallpaper-engine[.\]pro (домены, обнаруженные в полезных нагрузках с Деобфускацией). Обнаружение должно включать сканирование таблицы параметров на предмет внедренного содержимого скрипта и аномальных записей параметров, мониторинг исходящих запросов от веб-клиентов к подозрительным доменам и изучение шаблонов доступа для условных ответов на основе UA.
Меры по смягчению последствий включают обновление ядра WordPress, тем и плагинов; удаление или отключение плагинов, которые позволяют хранить / выполнять произвольный код с помощью параметров; отключение редактирования файлов в панели мониторинга; обеспечение строгой гигиены учетной записи администратора; развертывание WAF для блокировки внедрений скриптов и подозрительных исходящих перенаправлений; и внедрение автоматических оповещений о несанкционированном доступе к файловой системе и базе данных изменения.
#ParsedReport #CompletenessHigh
15-08-2025
'Blue Locker' Analysis: Ransomware Targeting Oil & Gas Sector in Pakistan
https://www.resecurity.com/blog/article/blue-locker-analysis-ransomware-targeting-oil-gas-sector-in-pakistan
Report completeness: High
Threats:
Blue_locker
Blackbasta
Shinra_ransomware
Conti
Proton_ransomware
Limba
Zola
Shadow_copies_delete_technique
Timestomp_technique
Process_injection_technique
Credential_harvesting_technique
Victims:
Government, Oil and gas
Industry:
Telco, Financial, Energy, Government, Petroleum, Transport, Critical_infrastructure
Geo:
Israeli, Iran, Asia, Pakistani, Asian, Chinese, Pakistan, China, Iranian
TTPs:
Tactics: 4
Technics: 15
IOCs:
File: 4
Email: 2
Hash: 6
Domain: 4
IP: 13
Soft:
Chrome, Protonmail, Jabber
Algorithms:
xor, exhibit, aes
Win API:
ShellExecuteW
Languages:
powershell
15-08-2025
'Blue Locker' Analysis: Ransomware Targeting Oil & Gas Sector in Pakistan
https://www.resecurity.com/blog/article/blue-locker-analysis-ransomware-targeting-oil-gas-sector-in-pakistan
Report completeness: High
Threats:
Blue_locker
Blackbasta
Shinra_ransomware
Conti
Proton_ransomware
Limba
Zola
Shadow_copies_delete_technique
Timestomp_technique
Process_injection_technique
Credential_harvesting_technique
Victims:
Government, Oil and gas
Industry:
Telco, Financial, Energy, Government, Petroleum, Transport, Critical_infrastructure
Geo:
Israeli, Iran, Asia, Pakistani, Asian, Chinese, Pakistan, China, Iranian
TTPs:
Tactics: 4
Technics: 15
IOCs:
File: 4
Email: 2
Hash: 6
Domain: 4
IP: 13
Soft:
Chrome, Protonmail, Jabber
Algorithms:
xor, exhibit, aes
Win API:
ShellExecuteW
Languages:
powershell