#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
esxi.darkbit - это программа-вымогатель на C++, использующая Crypto++, которая нацелена на VMDK, подключенные к ESXi VMFS, выдает esxcli для остановки виртуальных машин и шифрует каждый файл уникальным ключом AES-128 /IV (16-байтовым), пары ключей AES / IV которого зашифрованы RSA с помощью встроенного открытого ключа и прилагаемого к файлам. Он использует выборочное / фрагментированное шифрование (небольшие файлы: блоки размером 0x100000 байт, пропускающие 0xA00000; большие файлы: блоки размером 0x200000 с пропуском =(РАЗМЕР файла /0x32)-0x200000), оставляя значительные незашифрованные области и некоторые VMDK, показывающие следы повреждения / очистки, подобные следам wiper. Слабые шаблоны генерации RNG/ключей позволяли восстанавливать AES-ключи для каждого файла методом грубой силы, а разреженная структура VMDK позволяла восстанавливать многие внутренние файлы без расшифровки.
-----

28 января 2023 года инфраструктура ESXi организации подверглась атаке вируса-вымогателя, идентифицированного как "esxi.darkbit", инструмент C++, который использует библиотеку Crypto++ и предназначен для шифрования образов дисков виртуальных машин при монтировании в VMFS. Перед шифрованием вредоносное ПО выдает команды esxcli для остановки всех виртуальных машин. Каждый файл зашифрован с помощью уникального ключа AES и IV (16-байтовые ключи AES), и эти пары ключей AES/IV для каждого файла шифруются RSA с использованием открытого ключа, встроенного в образец (ASN.1 RSA, кодировка base64) и добавляются к зашифрованным файлам.

Шифрование осуществляется по частям, а не по полному файлу. Для файлов размером менее 0x640000 байт (\~6,55 МБ) процедура шифрует фрагменты размером 0x100000 байт и пропускает 0xA00000 байт между зашифрованными сегментами. Для файлов большего размера вредоносное ПО шифрует фрагменты размером 0x200000 байт и вычисляет размер пропуска как (FILESIZE / 0x32) - 0x200000. Этот выборочный/фрагментированный подход оставил значительные незашифрованные области в VMDKS. В нескольких файлах VMDK также были обнаружены следы, соответствующие повреждению или активности, подобной wiper.

Слабые места в реализации были использованы в ходе операций реагирования. Заполнение RNG-кода вредоносным ПО и генерация ключей содержали идентифицируемые шаблоны, которые позволяли использовать методы грубой силы против ключей AES для каждого файла. Кроме того, поскольку файлы VMDK разрежены, многие файлы уровня файловой системы внутри образов виртуальных дисков оставались восстанавливаемыми без расшифровки; исследователи прошлись по внутренним файловым системам VMDK и восстановили множество неповрежденных файлов непосредственно из незашифрованных областей.

Ключевые технические выводы: esxi.darkbit нацелен на VMDK, подключенные к VMFS, останавливает виртуальные машины через esxcli, использует AES-128 для каждого файла с ключами AES в RSA-оболочке, добавляемыми к файлам, и использует фрагментированное шифрование, которое оставляет пробелы, которые можно восстановить. Недостатки реализации в управлении RNG/ключами и разреженный характер VMDK существенно снизили устойчивость программы-вымогателя к попыткам восстановления.

#ParsedReport #CompletenessLow
14-08-2025

A Coordinated Response to MadeYouReset HTTP/2 Protocol Attacks

https://www.akamai.com/blog/security/2025/aug/response-madeyoureset-http2-protocol-attacks

Report completeness: Low

Threats:
Madeyoureset_technique

Victims:
Internet infrastructure, Server operators

CVEs:
CVE-2023-44487 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ietf http (2.0)


ChatGPT TTPs:
do not use without manual check
T1498, T1498.002

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MadeYouReset - это злоупотребление на уровне протокола HTTP/2, при котором злоумышленники отправляют намеренно искаженные управляющие фреймы для принудительного сброса потока на стороне сервера, а затем немедленно открывают новые потоки до завершения обработки сброса, что приводит к быстрому оттоку потока и повторному распределению/очистке. Эта гонка / цикл эффективно истощает ресурсы для каждого соединения и сервера (параллельные потоки, память, процессор, операции ввода-вывода), позволяя проводить DDoS-атаки L7 с низкой пропускной способностью; аналогичное поведение, требуемое протоколом, также возможно в QUIC/HTTP/3.
-----

MadeYouReset - это злоупотребление на уровне протокола HTTP/2, основанное на более ранней кампании быстрого сброса HTTP/2 (CVE-2023-44487), которая использовалась для крупных DDoS-атак уровня 7. Основной метод заключается в отправке заведомо неверных управляющих сообщений (искаженных управляющих фреймов), которые, согласно спецификации HTTP/2, заставляют сервер сбросить соответствующий поток. Злоумышленники используют предписанное поведение сервера и жизненный цикл потока: после выполнения сброса клиент—злоумышленник может немедленно открыть дополнительные потоки — даже до того, как клиент заметит, что сервер выполняет сброс, - что приводит к быстрому оттоку потока и повторному распределению/очистке на стороне сервера. Эта гонка/цикл обеспечивает эффективное использование ресурсов для каждого соединения и каждого сервера (параллельные потоки, память, центральный процессор и операции ввода-вывода) без необходимости использования злоумышленником большой полосы пропускания, что делает ее эффективной при отказе в обслуживании на прикладном уровне.

Процесс раскрытия информации отражал ответственное скоординированное раскрытие информации, используемое для решения проблем на уровне протокола в QUIC/HTTP/3: исследователи в частном порядке делились результатами с несколькими реализациями, позволяя поставщикам подтвердить существующие меры по устранению неполадок или подготовить исправления до публичного объявления. В QUIC были выявлены связанные с этим проблемы, связанные с механизмами проверки пути и идентификатора соединения, когда поведение, требуемое протоколом, может быть аналогичным образом нарушено, что приводит к дорогостоящей обработке на стороне сервера или недопустимым переходам состояний. Разработчикам следует проверить обработку потока/состояния на наличие недопустимых управляющих фреймов, обеспечить защиту ограничений и семантики быстрого сбоя от быстрого переключения потока и применить исправления поставщика, устраняющие эти нарушения протокола. Akamai сообщила, что ее реализация HTTP/2 не была уязвима для варианта MadeYouReset.

#ParsedReport #CompletenessMedium
14-08-2025

This 'SAP Ariba Quote' Isn't What It SeemsIt's Ransomware

https://cofense.com/blog/this-sap-ariba-quote-isn-t-what-it-seems-it-s-ransomware

Report completeness: Medium

Threats:
Wannacry
Eternal_petya
Leeme
Winrm_tool

Victims:
Enterprises, Email users

Industry:
Financial

Geo:
Portuguese, Italian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1056, T1056.001, T1059.006, T1204.001, T1486, T1555, T1566.002, T1566.003, have more...

IOCs:
File: 1
Url: 1
IP: 2
Hash: 8

Soft:
SAP Ariba, ProtonMail, Telegram, Windows Defender

Crypto:
bitcoin

Algorithms:
md5, zip, aes-256, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Скомпрометированные учетные записи отправителей распространяли LeeMe через электронные письма в стиле SAP Ariba, которые содержат ссылки на защищенные паролем архивы в файлообменных сервисах, чтобы обойти "песочницы". Модуль программы-вымогателя на Python lock_screen_crypto.py шифрует выбранные расширения на всех дисках, исключая системные файлы Windows. Дополнительные компоненты выполняют кражу учетных данных и захват нажатий клавиш через pynput с настраиваемыми SENSITIVE_TRIGGERS для целевого ведения журнала и эксфильтрации.
-----

Скомпрометированная учетная запись отправителя использовалась для распространения программы-вымогателя LeeMe с помощью электронных приманок, выдающих себя за предложение SAP Ariba. Сообщения содержат встроенную ссылку на анонимный файлообменный сервис, в котором размещен предполагаемый архив “инструмента”, и содержат пароль для расшифровки в тексте письма. Использование защищенных паролем архивов используется для того, чтобы избежать автоматического анализа в изолированной среде. Сердечный, не угрожающий язык электронного письма и Имперсонация поставщика ‑ это элементы социальной инженерии, призванные снизить подозрительность получателя.

Компонент программы-вымогателя включает в себя модуль Python с именем lock_screen_crypto.py который реализует шифрование файлов. Образец содержит предопределенный список целевых расширений файлов и выполняется итерация по всем доступным дискам, чтобы зашифровать соответствующие файлы, явно избегая системных файлов Windows, сохраняя возможность загрузки системы. Заявленная цель ‑ классический крипто-вымогатель: сделать пользовательские файлы непригодными для использования до тех пор, пока не будет выплачен выкуп.

Помимо шифрования, LeeMe включает в себя кражу учетных данных и перехват нажатий клавиш. Функция Регистрации нажатий клавиш реализована с использованием библиотеки pynput для создания прослушивателя клавиатуры; ведение журнала может запускаться, когда жертва вводит элементы, найденные в настраиваемом списке SENSITIVE_TRIGGERS. Комбинированная функция кейлоггера/похитителя учетных данных поддерживает эксфильтрацию паролей, реквизитов платежных карт и других личных данных, увеличивая воздействие после заражения помимо шифрования файлов.

Взятая вместе, кампания сочетает в себе доставку скомпрометированных учетных записей, обход "песочницы" с помощью архивов с паролями, целевое шифрование файлов на дисках и скрытую эксфильтрацию учетных данных. Даже при относительно низком требовании выкупа наличие случаев кражи данных и Регистрации нажатий клавиш повышает риск причинения долгосрочного вреда жертвам в результате вторичного мошенничества, перепродажи данных или последующего вымогательства.

#ParsedReport #CompletenessLow
14-08-2025

Malicious JavaScript Injects Fullscreen Iframe On a WordPress Website

https://blog.sucuri.net/2025/08/malicious-javascript-injects-fullscreen-iframe-on-a-wordpress-website.html

Report completeness: Low

Threats:
Fakecaptcha_technique

Victims:
Wordpress websites

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.007, T1105, T1189, T1204.001, T1592.004

IOCs:
Domain: 8
Url: 1
Command: 1

Soft:
WordPress, Chrome, Firefox, Opera

Algorithms:
base64

Languages:
php, javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО JavaScript сохраняется в WordPress, сохраняя запутанную полезную нагрузку в wp_options (имя_опции=wpcode_snippets). Код Деобфускации загружает внешние домены (capcloud[.\]icu, wallpaper-engine[.\]pro) в принудительный полноэкранный iframe, использует дактилоскопию пользовательского агента для настройки Windows Chrome /Firefox/Edge/Opera и регулирует отображение при последующих посещениях. Он злоупотребляет хранилищем параметров для закрепления и уклоняется от обнаружения на основе файлов; IOCs включают запутанный JS в wp_options и сетевые запросы к этим доменам.
-----

Была обнаружена кампания вредоносного ПО на основе JavaScript, сохраняющаяся в состоянии базы данных WordPress, а не в виде очевидных файлов файловой системы: вредоносная полезная нагрузка хранилась в таблице wp_options в разделе option_name=wpcode_snippets. Введенный код сильно запутан и при Деобфускации содержит ссылки на внешние домены, используемые для размещения контента, загруженного в принудительный полноэкранный iframe. Один наблюдаемый домен обслуживает поддельную страницу Cloudflare “Подтвердите, что вы человек” (hxxps://capcloud[.\]icu/captcha.html ), что указывает на использование социальной инженерии и обмана пользовательского интерфейса для маскировки вредоносного контента.

Полезная нагрузка использует дактилоскопию пользовательского агента для выборочного таргетирования клиентов Windows, работающих в основных браузерах (Chrome, Firefox, Edge, Opera). На соответствующих клиентах скрипт накладывает полноэкранный iframe, который автоматически загружает внешнюю страницу. Сначала iframe отображается постоянно, но при последующих посещениях он отключается, чтобы уменьшить обнаружение и имитировать безобидное поведение. Внедрение использует законный механизм хранения плагинов (wpcode_snippets) для достижения закрепления и уклонения от простого обнаружения на основе файлов; это демонстрирует злоупотребление записями параметров WordPress в качестве вектора выполнения.

Индикаторами компрометации являются наличие неожиданного или запутанного JavaScript, хранящегося в wp_options (имя_опции=wpcode_snippets), и сетевые запросы к таким доменам, как capcloud[.\]icu и wallpaper-engine[.\]pro (домены, обнаруженные в полезных нагрузках с Деобфускацией). Обнаружение должно включать сканирование таблицы параметров на предмет внедренного содержимого скрипта и аномальных записей параметров, мониторинг исходящих запросов от веб-клиентов к подозрительным доменам и изучение шаблонов доступа для условных ответов на основе UA.

Меры по смягчению последствий включают обновление ядра WordPress, тем и плагинов; удаление или отключение плагинов, которые позволяют хранить / выполнять произвольный код с помощью параметров; отключение редактирования файлов в панели мониторинга; обеспечение строгой гигиены учетной записи администратора; развертывание WAF для блокировки внедрений скриптов и подозрительных исходящих перенаправлений; и внедрение автоматических оповещений о несанкционированном доступе к файловой системе и базе данных изменения.

#ParsedReport #CompletenessHigh
15-08-2025

'Blue Locker' Analysis: Ransomware Targeting Oil & Gas Sector in Pakistan

https://www.resecurity.com/blog/article/blue-locker-analysis-ransomware-targeting-oil-gas-sector-in-pakistan

Report completeness: High

Threats:
Blue_locker
Blackbasta
Shinra_ransomware
Conti
Proton_ransomware
Limba
Zola
Shadow_copies_delete_technique
Timestomp_technique
Process_injection_technique
Credential_harvesting_technique

Victims:
Government, Oil and gas

Industry:
Telco, Financial, Energy, Government, Petroleum, Transport, Critical_infrastructure

Geo:
Israeli, Iran, Asia, Pakistani, Asian, Chinese, Pakistan, China, Iranian

TTPs:
Tactics: 4
Technics: 15

IOCs:
File: 4
Email: 2
Hash: 6
Domain: 4
IP: 13

Soft:
Chrome, Protonmail, Jabber

Algorithms:
xor, exhibit, aes

Win API:
ShellExecuteW

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Blue Locker - это программа-вымогатель, поставляемая с помощью PowerShell, нацеленная на правительство Пакистана и критически важную инфраструктуру, использующая загрузчик PowerShell для запуска запутанных сценариев, которые отключают средства контроля безопасности, повышают привилегии и удаляют двоичную полезную нагрузку. Действия после компрометации включают в себя закрепление, перемещение внутри компании, отключение процессов безопасности, шифрование на диске и, вероятно, эксфильтрацию данных перед шифрованием (двойное вымогательство). В образцах используется сильное запутывание, антианалитические проверки и living-off-the-land PowerShell, чтобы затруднить обнаружение.
-----

Blue Locker - семейство программ-вымогателей, поставляемых с помощью PowerShell, было замечено в ходе активной кампании, нацеленной на правительство Пакистана и критически важные объекты инфраструктуры, воздействию которой подверглась, по крайней мере, одна крупная нефтегазовая компания (Pakistan Petroleum). Исходный вектор - это загрузчик на основе PowerShell, который выполняет запутанные сценарии для отключения элементов управления безопасностью, повышения привилегий и создания двоичной полезной нагрузки программы-вымогателя. Поведение после компрометации соответствует обычной цепочке уничтожения современных программ-вымогателей: закрепление и перемещение внутри компании, завершение или отключение процессов конечной точки/антивируса, шифрование файлов хоста и предъявление требования о выкупе. Примечания к обратному инжинирингу указывают на то, что в образце используются многочисленные методы уклонения, включая сильное запутывание и антианалитические проверки, препятствующие осмотру и судебно-медицинскому восстановлению.

Blue Locker демонстрирует признаки двойной деструктивной деятельности и вымогательства: в дополнение к шифрованию на диске он обладает возможностями, совместимыми с эксфильтрацией данных перед шифрованием, что предполагает тактику двойного вымогательства. Использование загрузчиком PowerShell облегчает выполнение living-off-the-land и усложняет обнаружение на основе сигнатур. Процедуры повышения привилегий обеспечивают более широкое воздействие на сети после создания начальной точки опоры. Сообщалось, что средства защиты на уровне сети и хоста в некоторых случаях обнаруживали и блокировали активность, что побудило 39 министерств и ведомств направить национальные рекомендации по сертификации.

Одновременные публикации в социальных сетях и темном Интернете пытались усилить или сфабриковать заявления о нарушениях, связанных с Pakistan Petroleum; оценка показывает, что некоторые из этих сообщений, вероятно, были дезинформацией, предназначенной для усиления предполагаемого воздействия. Операционные показатели, опубликованные в рекомендациях, были ограничены; защитникам следует уделять приоритетное внимание мониторингу выполнения PowerShell с использованием шаблонов запутывания, подозрительных событий повышения привилегий, больших переносов исходящих данных (возможная эксфильтрация) и аномального поведения процесса, указывающего на антианализ или вмешательство служб безопасности.

#ParsedReport #CompletenessMedium
15-08-2025

Supply Chain Risk in Python: Termncolor and Colorinal Explained

https://www.zscaler.com/blogs/security-research/supply-chain-risk-python-termncolor-and-colorinal-explained

Report completeness: Medium

Threats:
Supply_chain_technique
Colorinal
Dll_sideloading_technique

Victims:
Python package ecosystem, Open source software users

TTPs:
Tactics: 4
Technics: 5

IOCs:
Email: 1
File: 9
Hash: 8
Domain: 1
Registry: 1

Soft:
Zulip, Linux

Algorithms:
cbc, aes

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Supply-chain атака через termncolor, используемая в unicode.py который загружает terminate.dll/terminate.итак, который выполняется, а затем удаляет сам себя. terminate dll AES‑CBC расшифровывает полезную нагрузку, используя ключ "xterminalunicode", отбрасывает vcpktsvr.exe в %LOCALAPPDATA%\vcpacket и создает HKCU, запускающий pkt‑обновление для закрепления (Linux через terminate.so ). Вторая стадия libcef.dll собирает метаданные хоста и отфильтровывает их по протоколу HTTPS, используя шаблоны, подобные Zulip, при одновременном запутывании имен API / DLL с помощью пользовательского умножения ASCII / побитового хэширования.
-----

Была идентифицирована вредоносная цепочка supply-chain Python, в которой кажущийся безобидным пакет termncolor подключал зависимость с именем colorinal, которая содержала фактическое вредоносное ПО. Модуль-нарушитель включал в себя файл unicode.py это маскировалось под терминальную цветовую утилиту, но предоставляло функцию is_color_supported, которая загружает встроенную собственную библиотеку (terminate.библиотека dll в Windows, завершите работу.так и в Linux). Эта собственная библиотека выполняет действия первого этапа и удаляет unicode.py и родную библиотеку после выполнения, чтобы избежать обнаружения.

прекратить.библиотека dll расшифровывает встроенную полезную нагрузку, используя AES-CBC с ключевой строкой UTF-8 "xterminalunicode", предоставляемой уровнем Python. Расшифрованная полезная нагрузка содержит компоненты, сброшенные на диск, включая исполняемый файл Windows vcpktsvr.exe размещен в разделе %LOCALAPPDATA%\vcpacket. Закрепление достигается путем создания ключа запуска pkt-update в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, указывающего на vcpktsvr.exe . Вариант Linux использует terminate.so для обеспечения эквивалентной функциональности в Unix-подобных системах.

Компонент второго этапа, libcef.dll (отброшен на первом этапе), реализует функциональность C2 и разведку. Он собирает системные метаданные, такие как имя компьютера, имя пользователя и версия операционной системы, объединяет и форматирует эти значения и передает их на сервер управления по протоколу HTTPS. Трафик C2 запутывается за счет использования шаблонов протокола платформы обмена сообщениями Zulip team для смешивания с законными сообщениями. Вредоносное ПО также использует пользовательскую облегченную процедуру хэширования API, которая оперирует значениями ASCII с умножением и побитовыми операциями для запутывания имен API /DLL-библиотек; этот подход быстр, но увеличивает риск коллизий по сравнению с криптографическими хэшами.

#ParsedReport #CompletenessMedium
15-08-2025

Dark Web Profile: Void Blizzard

https://socradar.io/dark-web-profile-void-blizzard/

Report completeness: Medium

Actors/Campaigns:
Void_blizzard (motivation: cyber_espionage)
Fancy_bear

Threats:
Supply_chain_technique
Password_spray_technique
Spear-phishing_technique
Typosquatting_technique
Evilginx_tool
Aitm_technique
Azurehound_tool
Qshing_technique

Victims:
Governments, Defense sector, Critical infrastructure, Organizations linked to nato, Organizations linked to the european union

Industry:
E-commerce, Education, Ngo, Critical_infrastructure, Government, Aerospace, Military

Geo:
Ukraine, Russian, Dutch

TTPs:
Tactics: 6
Technics: 12

IOCs:
Domain: 1

Soft:
Microsoft Teams, Azure AD

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Void Blizzard (Laundry Bear) - поддерживаемый российским государством актор, действующий с 2024 года, нацеленный на правительства НАТО/ ЕС, оборону и критическую инфраструктуру, уделяя особое внимание совместной работе в облаке и электронной почте. Он получает доступ с помощью кражи учетных данных, фишинга, приобретенных сеансовых файлов cookie, Распыления пароля и прямого входа в облако Microsoft (Exchange Online, SharePoint). После компрометации он использует API Microsoft Graph и Exchange для перечисления, эксфильтрации, бокового перемещения и сохранения через доверенные учетные записи, избегая традиционного вредоносного ПО и оставляя минимальные артефакты.
-----

Void Blizzard (отслеживается голландской разведкой как "Laundry Bear") - актор кибершпионажа, поддерживаемый российским государством, действующий как минимум с 2024 года, с акцентом на правительства, оборонные секторы и критически важную инфраструктуру в странах НАТО и ЕС. Группа уделяет приоритетное внимание доступу к организациям, связанным с НАТО и Европейским союзом, и ориентирована на облачные сервисы совместной работы и электронной почты.

Тактика отдает предпочтение несложным, но скрытным методам, а не заказному вредоносному ПО. Void Blizzard редко использует традиционное вредоносное ПО; вместо этого он полагается на кражу учетных данных, фишинг и злоупотребление собственными Облачными сервисами и API для поддержания постоянного доступа с низким уровнем шума. Способы первоначального доступа включают использование украденных учетных данных и сеансовых файлов cookie, приобретенных на криминальных рынках, прямой вход в Облачные сервисы Microsoft, такие как Exchange Online и SharePoint, а также кампании по password-spraying, в которых используется небольшое количество общих паролей для многих учетных записей, чтобы избежать блокировок и обнаружения.

Действия после компрометации сосредоточены на злоупотреблении облачными API и интерфейсами управления для перечисления, эксфильтрации и поддержания доступа. Группа использует API Microsoft Graph и Exchange Online для горизонтального перемещения в облачных средах, доступа к почтовым ящикам и файлам и сохранения данных через доверенные учетные записи, а не для внедрения обнаруживаемого вредоносного ПО. Такое злоупотребление законными облачными функциями обеспечивает долговременный доступ с ограниченными криминалистическими артефактами, типичными для вторжений, основанных на вредоносном ПО.

В защитных целях особое внимание уделяется идентификации и облачной гигиене, а не антивирусу конечных точек. Эффективные меры по снижению рисков включают надежную защиту идентификационных данных (Многофакторная аутентификация, условный доступ), обнаружение и реагирование на аномальные модели аутентификации и использования API (необычные вызовы Microsoft Graph или Exchange Online, повторное использование файлов cookie в сеансе, нетипичные географические области или время входа в систему), быструю ротацию учетных данных и мониторинг продаж учетных данных и файлов cookie, а также более жесткие меры элементы управления привилегированными Облачными учетными записями. Поскольку актор использует доверенные учетные записи и встроенные облачные инструменты, защитникам следует уделять приоритетное внимание управлению доступом, протоколированию активности облачного API и оповещению об аномальном поведении токена или сеанса.

#ParsedReport #CompletenessMedium
15-08-2025

UAT-7237 targets Taiwanese web hosting infrastructure

https://blog.talosintelligence.com/uat-7237-targets-web-hosting-infra/

Report completeness: Medium

Actors/Campaigns:
Uat-7237
Uat-5918
Flax_typhoon

Threats:
Cobalt_strike_tool
Soundbill_tool
Meterpreter_tool
Lolbin_technique
Sharpwmi_tool
Wmicmd_tool
Spear-phishing_technique
Mimikatz_tool
Juicypotato_tool
Fscan_tool
Netstat_tool

Victims:
Web infrastructure entities, Web hosting infrastructure

Geo:
Taiwanese, Chinese, Taiwan

ChatGPT TTPs:
do not use without manual check
T1003.001, T1036, T1055, T1068, T1082, T1105, T1112, T1133, T1190, T1204, have more...

IOCs:
Command: 17
IP: 2
Path: 6
Url: 2
File: 9
Domain: 1
Registry: 3
Coin: 1
Hash: 8

Soft:
SoftEther, Local Security Authority

Languages:
powershell

Links:
https://github.com/GhostPack/SharpWMI
https://github.com/nccgroup/WMIcmd
have more...
https://github.com/cdxiaodong/some-function-in-binary/blob/08b66e5504f03373bd70341a4493a7450091c471/%E5%BC%82%E6%88%96%2B%E6%B7%B7%E6%B7%86/%E5%BC%82%E6%88%96%2B%E6%B7%B7%E6%B7%86/%E5%BC%82%E6%88%96%2B%E6%B7%B7%E6%B7%86.cpp