#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salty 2FA ‑ это платформа для фишинга как услуги, предоставляющая поддельные страницы входа в систему Microsoft со многих недолговечных доменов (включая выделенный домен эксфильтрации), использующая привязки URL для предварительного заполнения адресов и турникет Cloudflare. Он использует многоступенчатую, сильно запутанную цепочку JavaScript на стороне клиента с шумом, антианализом и мутацией полезной нагрузки. Интерфейс/бэкенд используют управляемый кодом операции протокол POST /JSON, позволяющий использовать потоки 2FA с несколькими состояниями и активный перехват OTP; окончательная атрибуция не найдена.
-----

Salty 2FA - это недавно обнаруженный фреймворк для фишинга как услуги (PhaaS), который имеет некоторые совпадения с ранее отслеживаемыми наборами (Storm-1575/1747), но с отличными техническими характеристиками. Кампании предоставляли поддельные страницы входа в систему Microsoft, защищенные Cloudflare Turnstile, и обслуживались с многочисленных, часто недолговечных доменов в определенных TLD, включая выделенный домен для эксфильтрации данных. Таргетинг включал организации в США и ЕС, а в фишинг-письмах использовались привязки URL-адресов (например, #email) для предварительного заполнения адресов жертв.

Атака представляет собой многоэтапную цепочку с большим количеством клиентов, управляемую запутанным JavaScript. Начальный этап состоит из небольшого фрагмента JS, который декодирует адрес для следующего этапа, извлекает его, снова декодирует и вводит результат в DOM. Последующие этапы возвращают большие полезные данные HTML, дополненные нефункциональным “шумом” и еще более запутанным JS. Все переходы между состояниями страницы, логика Перехвата вводимых данных и эксфильтрации реализованы на стороне клиента. Механизмы антианализа присутствуют в JS, а мутация полезной нагрузки/кода и запутывание делают статические хэши и сигнатуры ненадежными.

Взаимодействие с серверной частью осуществляется по протоколу, управляемому кодом операции: интерфейс отправляет запросы POST, а сервер отвечает с помощью JSON, поля и значения которого зависят от текущего кода операции/состояния потока фишинга. Это обеспечивает обработку 2FA с несколькими состояниями — проверку учетных данных, поддержку нескольких методов 2FA и активный перехват одноразовых кодов доступа (OTP). Инфраструктура и поведенческие особенности (например, выделенные конечные точки эксфильтрации, динамические домены, сложная логика на стороне клиента, турникет Cloudflare) указывают на преднамеренное уклонение и оперативную устойчивость, отличающие Salty 2FA от известных платформ фишинга, таких как Tycoon и EvilProxy. Не было выявлено никаких окончательных признаков принадлежности или повторного использования, связывающих этот набор с конкретным оператором или с известными коммерческими наборами.

#ParsedReport #CompletenessLow
12-08-2025

Threat Spotlight \| ShinyHunters Targets Salesforce Amid Clues of Scattered Spider Collaboration

https://reliaquest.com/blog/threat-spotlight-shinyhunters-data-breach-targets-salesforce-amid-scattered-spider-collaboration/

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated)
Shinyhunters (motivation: cyber_criminal, financially_motivated)
Sp1d3r_hunters

Threats:
Credential_harvesting_technique
Empire_loader
Sim_swapping_technique
Mfa_bombing_technique

Victims:
Salesforce users, Banks, Financial services organizations, Technology service providers, Retail trade sector, Technology sector, Finance sector, Professional scientific and technical services

Industry:
Aerospace, Retail, Financial, Education

ChatGPT TTPs:
do not use without manual check
T1078, T1556.006, T1566.002, T1566.004, T1583.001, T1591.002, T1592.002, T1641, T1650, T1656, have more...

IOCs:
Domain: 11

Soft:
Telegram, ServiceNow

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShinyHunters перешли от кражи учетных данных / базы данных к фишингу с использованием единого входа в систему Salesforce, используя страницы под брендом Okta и поддельное приложение, подключенное к порталу "Мой билет", для обеспечения крупномасштабной эксфильтрации данных. Активность пересекается с Scattered Spider через шаблоны доменов компании okta[.\]com, повторное использование наборов для фишинга SSO, приманки для ticket-dashboard и более 700 доменов в 2025 году. Com включает подгруппы, специализирующиеся на АТО, обмене SIM-картами, краже криптовалют и сексторции, смещая ориентацию в сторону финансов и технологий.
-----

ShinyHunters, актор, занимающийся взломом данных с финансовой мотивацией, известный кражей учетных данных и эксфильтрацией баз данных, вновь появился после года низкой активности и изменил тактику в сторону фишинга на тему SSO и кампаний социальной инженерии, нацеленных на Salesforce. В недавних кампаниях использовались страницы фишинга под брендом Okta и приманки ticket-dashboard, переименованные в вредоносные инструменты (например, поддельный загрузчик данных Salesforce в "My Ticket Portal"), чтобы обманом заставить жертв авторизовать вредоносные подключенные приложения. После авторизации эти подключенные приложения обеспечивают масштабную эксфильтрацию данных Salesforce. Это представляет собой переход от прежних скрытых операций ShinyHunters, ориентированных на учетные данные и базы данных, к более открытым методам единого входа и доступа с согласия / фишинга.

Показателями сотрудничества с Scattered Spider являются шаблоны регистрации доменов и повторное использование наборов для фишинга SSO-хостинга. Исследователи обнаружили в июне 2025 года кластер доменов с тематикой тикетов, разрешенных для фишинга под брендом Okta, и более 700 доменов, зарегистрированных в 2025 году, соответствующих шаблонам в стиле Scattered Spider (например, company-okta[.\]com). Метаданные регистратора привязывали многие домены к наборам для фишинга, используемым для размещения страниц входа с единым входом. Эти инфраструктуры и приманки (панели управления билетами, вымогательские предлоги) отражают известные TTP Scattered Spider: сложную социальную инженерию на английском языке, Имперсонацию службы поддержки, эволюцию SIM-swapping и целенаправленный сбор учетных данных единого входа для облегчения захвата учетной записи.

Более широкая сеть (Com), по-видимому, включает в себя разрозненные подгруппы, специализирующиеся на захвате учетных записей, замене SIM-карт, краже криптографических данных, перехвате и секстрации, что позволяет использовать методы социальной инженерии и инфраструктуру. К 2025 году тенденции в области таргетинга сместились с профессиональных, научных и технических услуг в сторону финансов и технологий, причем вредоносные домены в наибольшей степени имитируют США. Защитникам следует уделять приоритетное внимание обнаружению злоупотреблений с использованием единого входа, вредоносных авторизаций подключенных приложений, шаблонов регистрации доменов (форматы okta компании [-\]) и страниц фишинга на тему билетов, а не полагаться исключительно на статические IOC, поскольку акторы быстро меняют инфраструктуру и псевдонимы.

#ParsedReport #CompletenessMedium
19-08-2025

Crypto24 Ransomware Group Blends Legitimate Tools with Custom Malware for Stealth Attacks

https://www.trendmicro.com/en_no/research/25/h/crypto24-ransomware-stealth-attacks.html

Report completeness: Medium

Threats:
Crypto24
Psexec_tool
Anydesk_tool
Credential_harvesting_technique
Realblindingedr_tool
Netuser_tool
Lolbin_technique
Basecamp_tool

Victims:
Financial services, Manufacturing, Entertainment, Technology

Industry:
Entertainment

Geo:
Usa, Asia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1033, T1036, T1047, T1053.005, T1056.001, T1059.003, T1069.001, T1071.001, T1072, have more...

IOCs:
File: 22
Command: 7
Path: 18

Soft:
PSExec, Windows Defender, WinINet API, TightVNC

Algorithms:
exhibit

Languages:
swift

#ParsedReport #ExtractedSchema

Classified images:
windows: 9, schema: 1, code: 5, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Crypto24 проводит многоэтапные вторжения, используя LOLBins и инструменты администратора с пользовательским вредоносным ПО и защитой от EDR (RealBlindingEDR), которые могут использовать неподписанные/уязвимые драйверы для взлома ядра. Первоначальные точки опоры с помощью создания привилегированной учетной записи и запланированных задач; 1.bat запускает WMIC для профилирования хоста. Закрепление в %ProgramData%\Update\; перемещение внутри компании через PsExec, AnyDesk, runas/групповую политику; кейлоггер WinMainSvc.dll (run_new.bat) и загрузите файл через API Google Диска через WinInet.
-----

Crypto24 проводит скоординированные многоэтапные вторжения, которые сочетают двоичные файлы Living Off the Land (LOLBins) и законные инструменты администрирования с пользовательским вредоносным ПО и специальными утилитами обхода EDR, чтобы сочетаться с обычной ИТ-деятельностью и избегать обнаружения. Первоначальные точки опоры устанавливаются с помощью создания привилегированной учетной записи и запланированных задач; разведка автоматизируется с помощью скрипта 1.bat, который использует WMIC для перечисления разделов диска, сведений об операционной системе, общей физической памяти, учетных записей локальных пользователей и членства в группах для профилирования хостов и выбора важных целей для перемещения внутри компании.

Механизмы закрепления включают создание привилегированных учетных записей и записей о запланированных задачах. Пакетные файлы и скрипты, размещенные в %ProgramData%\Update\, выполняются через регулярные промежутки времени для переустановки или запуска полезных нагрузок. Перемещение внутри компании осуществляется посредством удаленного Диспетчера управления службами(SCM) с использованием PsExec и инструментов удаленного доступа, таких как AnyDesk. Операторы также используют runas.exe и утилиты групповой политики для выполнения процессов с повышенными привилегиями и распространения активности по всей среде.

Методы обхода защиты включают развертывание пользовательской утилиты защиты от EDR (известной как RealBlindingEDR), которая пытается нейтрализовать или ослепить технологии обнаружения конечных точек; этот инструмент может использовать уязвимые или неподписанные драйверы для обеспечения взлома на уровне ядра и самозащиты агента. Пользовательские компоненты вредоносного ПО включают кейлоггер, реализованный в виде библиотеки DLL (WinMainSvc.dll ) выполняется через run_new.bat; кейлоггер фиксирует учетные данные и другие входные данные и сохраняется в запланированных задачах. Наблюдаемые каналы эксфильтрации данных включают неправильное использование API-интерфейсов Google Диска (реализованных с помощью вызовов WinInet в псевдокоде) для загрузки или извлечения файлов вне обычных корпоративных каналов.

Операция проводится в нерабочее время, чтобы снизить вероятность обнаружения, и ориентирована на корпоративные организации в Азии, Европе и США, а кампании сосредоточены на финансовых услугах, производстве, развлечениях и технологиях. Наблюдаемые имена файлов и их расположение: 1.bat, run_new.bat, WinMainSvc.dll и %ProgramData%\Update\.

#ParsedReport #CompletenessHigh
19-08-2025

Update WinRAR tools now: RomCom and others exploiting zero-day vulnerability

https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/

Report completeness: High

Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage)

Threats:
Romcom_rat
Mythic_c2
Snipbot
Meltingclaw
Rustyclaw
Spear-phishing_technique
Com_hijacking_technique
Putty_tool

Victims:
Financial, Manufacturing, Defense, Logistics, Europe, Canada

Industry:
Logistic

Geo:
Russia, Canada, Ukraine, Russian, Ukrainian, Germany

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20107)
- microsoft windows_10_1607 (<10.0.14393.6167)
- microsoft windows_10_1809 (<10.0.17763.4737)
- microsoft windows_10_21h2 (<10.0.19044.3324)
- microsoft windows_10_22h2 (<10.0.19044.3324)
have more...
CVE-2024-9680 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mozilla firefox (<115.16.1, <131.0.2, <128.3.1)
- mozilla thunderbird (<115.16.0, <128.3.1, 131.0)

CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)

CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)

CVE-2024-49039 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20826)
- microsoft windows_10_1607 (<10.0.14393.7515)
- microsoft windows_10_1809 (<10.0.17763.6532)
- microsoft windows_10_21h2 (<10.0.19044.5131)
- microsoft windows_10_22h2 (<10.0.19045.5131)
have more...

TTPs:
Tactics: 12
Technics: 29

IOCs:
File: 5
Registry: 2
Url: 4
Hash: 11
Domain: 4
IP: 4

Soft:
Microsoft Word, Firefox, Tor Browser, UnRAR, Microsoft Edge, Component Object Model

Algorithms:
zip, aes, sha1

Languages:
rust

Links:
https://github.com/NoMoreFood/putty-cac
https://github.com/MythicC2Profiles/dynamichttp
have more...
https://github.com/eset/malware-ioc/tree/master/romcom

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-8088 - это WinRAR/UnRAR.dll прохождение пути в zero‑day, которым злоупотребляют в оружейных раритетах, чтобы сбросить msedge.dll ; Были затронуты WinRAR 7.12 и приложения, использующие общедоступный UnRAR. Spearphishing (18-21 июля 2025 г.) был нацелен на финансы, производство, оборону и логистику ЕС/Канады и приписывается RomCom (Storm‑0978/UNC2596), при этом также наблюдался отдельный актор. Три цепочки: Mythic LNK COM захватывает через PSFactoryBuffer/npmproxy.dll загрузка msedge.dll (AES‑расшифровывает шеллкод, проверка домена); используется SnipBot ApbxHelper.exe (модифицированный CAC PuTTY, расшифровка с использованием ключа имени файла, антианализ RecentDocs) для извлечения этапов из campanole.com ; Настройки.lnk побежал Complaint.exe (RustyClaw) для извлечения install_module_x64.dll (SHA1 01D32F...) из melamorri.com с C2 на gohazeldale.com .
-----

ESET выявила уязвимость обхода пути zero-day в WinRAR (CVE-2025-8088), эксплуатируемую в защищенных архивах RAR, из-за которой удалялась вредоносная библиотека DLL с именем msedge.dll . Ошибка затронула WinRAR 7.12 и любое программное обеспечение, использующее общедоступную Windows UnRAR.dll или его исходный код, в котором не были обновлены зависимости. Об уязвимости было сообщено 24 июля 2025 года, и она была исправлена в WinRAR 7.13 (бета-версия опубликована в тот же день; полный релиз 30 июля 2025 года).

Таргетинг осуществлялся посредством spearphishing (18-21 июля 2025 г.) против финансовых, производственных, оборонных и логистических организаций в Европе и Канаде с использованием вложений на тему резюме. Телеметрия ESET показала, что актору не удалось успешно скомпрометировать наблюдаемые цели. Активность приписывается RomCom (он же Storm-0978/UNC2596/Tropical Scorpius) на основе региона, TTP и инструментария; известно, что RomCom внедряет бэкдоры, способные выполнять команды и модульные загрузки. Второй злоумышленник также независимо использовал CVE-2025-8088.

Были замечены три различные цепочки выполнения. Цепочка агентов Mythic использовала вредоносный LNK (Updater.lnk) для добавления HKCU\SOFTWARE\Classes\CLSID\{1299CF18-C4F5-4B6A-BB0F-2299F0398E27}\InprocServer32 = %TEMP%\msedge.dll , используя COM hijacking CLSID PSFactoryBuffer, присутствующий в npmproxy.dll так что любой процесс, загружающий его (например, Edge) запускает библиотеку DLL. Библиотека DLL AES расшифровывает встроенный шеллкод и выполняет проверку цели путем сравнения доменного имени компьютера с жестко закодированным значением, завершая работу в случае несоответствия.

В варианте SnipBot использовались настройки отображения.lnk для запуска %LOCALAPPDATA%\ApbxHelper.exe , модифицированный двоичный файл CAC PuTTY, подписанный недействительным сертификатом. Загрузчик использует имя файла в качестве ключа для расшифровки строк и шелл-кода; выполнение блокируется проверкой антианализа, требующей определенного количества значений реестра RecentDocs (образец проверен на имя значения реестра "68", т.е. >=69 документов). Если он передан, шелл-код загружает следующий этап из https://campanole.com/TOfrPOseJKZ .

Третья цепочка использовала настройки.lnk для выполнения %LOCALAPPDATA%\Complaint.exe (Загрузчик RustyClaw в Rust, также с недопустимым сертификатом), который извлек полезную нагрузку (SHA-1 01D32FE88ECDEA2B934A00805E138034BF85BF83, внутреннее имя install_module_x64.dll ) из https://melamorri.com/iEZGPctehTZ ; наблюдаемый MeltingClaw C2 был https://gohazeldale.com .

#ParsedReport #CompletenessLow
19-08-2025

MadeYouReset

https://deepness-lab.org/publications/madeyoureset/

Report completeness: Low

Threats:
Madeyoureset_technique

Victims:
Web infrastructure

Industry:
Education

CVEs:
CVE-2025-8671 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-54500 [Vulners]
CVSS V3.1: 6.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-55163 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-48989 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache tomcat (<9.0.108, <10.1.44, <11.0.10, 9.0.0)

CVE-2025-36047 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ibm websphere_application_server (<25.0.0.9)


ChatGPT TTPs:
do not use without manual check
T1498

Soft:
Apache Tomcat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MadeYouReset - это класс дефектов реализации HTTP/2, вызванных общим недостатком дизайна в том, как функции протокола обрабатываются в нескольких кодовых базах, что позволяет злоупотреблять поведением на уровне протокола. Он нацелен на обработку HTTP/2 на серверах и прокси-серверах и может быть запущен без проверки подлинности с помощью обычных взаимодействий HTTP/2, что приведет к исчерпанию ресурсов и крупномасштабному DoS. Множественные CVE соответствуют различным проявлениям в разных реализациях.
-----

MadeYouReset - это недавно раскрытый класс уязвимостей реализации HTTP/2, который проистекает из общего конструктивного недостатка в том, как функции HTTP/2 реализуются в нескольких кодовых базах. Этот недостаток позволяет злоумышленнику запускать крупномасштабные условия отказа в обслуживании на затронутых серверах, злоупотребляя поведением на уровне протокола, а не полагаясь на ошибки прикладного уровня. Различным проявлениям проблемы было присвоено несколько CVE, указывающих на различные уязвимые компоненты или варианты в разных реализациях.

Целью эксплуатации являются пути обработки протокола HTTP/2 в стеках серверов и прокси-серверов; поскольку основной причиной является общность дизайна/реализации, воздействию подвергся широкий спектр продуктов, поддерживающих HTTP/2. Совокупный эффект - это способность вызывать истощение ресурсов или иным образом нарушать нормальную обработку запросов в масштабе, позволяя проводить массированные DoS-атаки, которые могут повлиять на доступность для многих клиентов одновременно. Класс уязвимостей примечателен тем, что их можно использовать без аутентификации и с использованием стандартных взаимодействий HTTP/2, что увеличивает потенциальную поверхность атаки для конечных точек, подключенных к Интернету и поддерживающих протокол.

Поставщики выпустили исправления, устраняющие выявленные CVE; исправления обычно требуют обновления стеков HTTP/2 или применения обновлений программного обеспечения, предоставляемых поставщиком. Немедленные меры по устранению неполадок заключаются в применении этих исправлений, отключении HTTP/2, где это возможно, до обновления систем и мониторинге трафика на предмет аномальных шаблонов HTTP/2, соответствующих поведению DoS. Операторам следует провести инвентаризацию сервисов с поддержкой HTTP/2, сопоставить их с опубликованными идентификаторами CVE и определить приоритетность исправления общедоступной инфраструктуры.

#ParsedReport #CompletenessHigh
20-08-2025

A Cereal Offender: Analyzing the CORNFLAKE.V3 Backdoor

https://cloud.google.com/blog/topics/threat-intelligence/analyzing-cornflake-v3-backdoor/

Report completeness: High

Actors/Campaigns:
Landupdate808 (motivation: financially_motivated)
Unc5774 (motivation: financially_motivated)
Unc4108

Threats:
Cornflake
Clickfix_technique
Fakecaptcha_technique
Netsupportmanager_rat
Voltmarker
Seo_poisoning_technique
Credential_harvesting_technique
Kerberoasting_technique
Nltest_tool
Windytwist

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1018, T1033, T1036, T1047, T1057, T1059.001, T1059.007, T1069.002, T1071.001, T1082, have more...

IOCs:
Registry: 5
Command: 2
Url: 6
File: 31
Path: 8
IP: 5
Domain: 3
Hash: 3

Soft:
Node.js, UNIX, QEMU, active directory, Trycloudflare

Algorithms:
xor, md5, zip, base64

Functions:
Get-WmiObject, Get-Service, Get-PSDrive, mainloop, Get-LocalGroup, Get-LocalGroupMember, Get-Clipboard

Languages:
powershell, java, php, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chats: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор CORNFLAKE.V3, связанный с хакерскими группировками UNC5518 и UNC5774, использует страницы fake CAPTCHA для развертывания сценария загрузки, инициирующего цепочку заражения вредоносным ПО. Он поставляется в версиях JavaScript и PHP и подключается к серверу управления для выполнения различных полезных нагрузок, включая команды оболочки и библиотеки DLL, одновременно собирая системную информацию и выполняя разведку Active Directory, включая Керберостинг на предмет кражи учетных данных. Последний вариант, реализованный на PHP, сохраняет аналогичные функциональные возможности и извлекает дополнительную полезную нагрузку, подчеркивая растущую сложность этих скоординированных киберугроз.
-----

Бэкдор CORNFLAKE.V3, являющийся частью кампании, связанной с хакерскими группировками UNC5518 и UNC5774, расследуется Mandiant Threat Defense с середины 2024 года. UNC5518 преимущественно использует легальные веб-сайты, предоставляя страницы проверки fake CAPTCHA для распространения скрипта-загрузчика, инициируя цепочку заражения вредоносным ПО. Эта финансовая группа часто сотрудничает с другими акторами, которые используют полученный доступ для дальнейшего внедрения вредоносных программ.

CORNFLAKE.V3 проявляется в двух вариантах, написанных либо на JavaScript, либо на PHP. Он извлекает полезную нагрузку через HTTP, что позволяет ему выполнять различные типы файлов, включая команды оболочки, исполняемые файлы и библиотеки динамических ссылок (DLL). Бэкдор способен собирать базовую системную информацию и передавать ее на удаленный сервер с дополнительной возможностью злоупотреблять туннелями Cloudflare для передачи трафика через прокси. Вредоносное ПО продемонстрировало способность к закреплению и может гарантировать, что одновременно запущен только один экземпляр.

После запуска CORNFLAKE.V3 выполняет первоначальные проверки и собирает системную информацию, прежде чем установить соединение со своим сервером управления (C2). Он использует два списка (hosts и hostsIP) для управления своей связью, пытаясь подключиться к случайным записям из этих списков. Основная функция бэкдора отправляет первоначальный POST-запрос на сервер C2, содержащий зашифрованную системную информацию и результаты выполнения. Для закрепления он использует аргументы командной строки "node.exe " обработайте, извлеките и запишите исходный вредоносный скрипт в файл журнала в Node.js установочный каталог.

Вредоносное ПО может выполнять различные полезные функции. Примечательно, что было замечено проведение разведки Active Directory, которая включает в себя такие действия, как подсчет количества компьютерных объектов в домене, отображение подробного пользовательского контекста, перечисление доверенных доменов, перечисление контроллеров домена и запрос имен участников службы (SPN). Второй важной возможностью является Керберостинг, при котором он запрашивает учетные записи пользователей, связанные с SPN, для сбора учетных данных. Хэши паролей, полученные с помощью этого метода, передаются на сервер C2 для потенциального взлома.

Появился недавний вариант CORNFLAKE.V3, реализованный на PHP, сохраняющий те же функциональные возможности, что и оригинальный Node.js версия. Кроме того, после взаимодействия с сервером C2 бэкдор извлекает полезную нагрузку DLL, в частности WINDYTWIST.Бэкдор SEA, который затем запускается, еще больше расширяя его возможности в скомпрометированной среде.

Расследование подчеркивает совместную динамику современных киберугроз, иллюстрируя, как UNC5518 извлекает выгоду из скомпрометированных сайтов, в то время как другие группы, такие как UNC5774, внедряют универсальное вредоносное ПО для достижения дальнейших оперативных целей. Сосредоточение внимания на разведке и краже учетных данных свидетельствует о четком намерении перемещения внутри компании в целевых сетях, подчеркивая растущую сложность и опасность, исходящую от таких злоумышленников.

#ParsedReport #CompletenessLow
20-08-2025

Russian state-sponsored espionage group Static Tundra compromises unpatched end-of-life network devices

https://blog.talosintelligence.com/static-tundra/

Report completeness: Low

Actors/Campaigns:
Static_tundra (motivation: cyber_espionage)
Energeticbear

Threats:
Synful_knock

Victims:
Telecommunications, Higher education, Manufacturing

Industry:
Education, Telco, Government

Geo:
Africa, Ukraine, Ukrainian, Russia, America, Russian, Asia

CVEs:
CVE-2018-0171 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios (15.2\(5\)e)


TTPs:
Tactics: 7
Technics: 0

IOCs:
IP: 4