#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-8088 - это WinRAR/UnRAR.dll прохождение пути в zero‑day, которым злоупотребляют в оружейных раритетах, чтобы сбросить msedge.dll ; Были затронуты WinRAR 7.12 и приложения, использующие общедоступный UnRAR. Spearphishing (18-21 июля 2025 г.) был нацелен на финансы, производство, оборону и логистику ЕС/Канады и приписывается RomCom (Storm‑0978/UNC2596), при этом также наблюдался отдельный актор. Три цепочки: Mythic LNK COM захватывает через PSFactoryBuffer/npmproxy.dll загрузка msedge.dll (AES‑расшифровывает шеллкод, проверка домена); используется SnipBot ApbxHelper.exe (модифицированный CAC PuTTY, расшифровка с использованием ключа имени файла, антианализ RecentDocs) для извлечения этапов из campanole.com ; Настройки.lnk побежал Complaint.exe (RustyClaw) для извлечения install_module_x64.dll (SHA1 01D32F...) из melamorri.com с C2 на gohazeldale.com .
-----

ESET выявила уязвимость обхода пути zero-day в WinRAR (CVE-2025-8088), эксплуатируемую в защищенных архивах RAR, из-за которой удалялась вредоносная библиотека DLL с именем msedge.dll . Ошибка затронула WinRAR 7.12 и любое программное обеспечение, использующее общедоступную Windows UnRAR.dll или его исходный код, в котором не были обновлены зависимости. Об уязвимости было сообщено 24 июля 2025 года, и она была исправлена в WinRAR 7.13 (бета-версия опубликована в тот же день; полный релиз 30 июля 2025 года).

Таргетинг осуществлялся посредством spearphishing (18-21 июля 2025 г.) против финансовых, производственных, оборонных и логистических организаций в Европе и Канаде с использованием вложений на тему резюме. Телеметрия ESET показала, что актору не удалось успешно скомпрометировать наблюдаемые цели. Активность приписывается RomCom (он же Storm-0978/UNC2596/Tropical Scorpius) на основе региона, TTP и инструментария; известно, что RomCom внедряет бэкдоры, способные выполнять команды и модульные загрузки. Второй злоумышленник также независимо использовал CVE-2025-8088.

Были замечены три различные цепочки выполнения. Цепочка агентов Mythic использовала вредоносный LNK (Updater.lnk) для добавления HKCU\SOFTWARE\Classes\CLSID\{1299CF18-C4F5-4B6A-BB0F-2299F0398E27}\InprocServer32 = %TEMP%\msedge.dll , используя COM hijacking CLSID PSFactoryBuffer, присутствующий в npmproxy.dll так что любой процесс, загружающий его (например, Edge) запускает библиотеку DLL. Библиотека DLL AES расшифровывает встроенный шеллкод и выполняет проверку цели путем сравнения доменного имени компьютера с жестко закодированным значением, завершая работу в случае несоответствия.

В варианте SnipBot использовались настройки отображения.lnk для запуска %LOCALAPPDATA%\ApbxHelper.exe , модифицированный двоичный файл CAC PuTTY, подписанный недействительным сертификатом. Загрузчик использует имя файла в качестве ключа для расшифровки строк и шелл-кода; выполнение блокируется проверкой антианализа, требующей определенного количества значений реестра RecentDocs (образец проверен на имя значения реестра "68", т.е. >=69 документов). Если он передан, шелл-код загружает следующий этап из https://campanole.com/TOfrPOseJKZ .

Третья цепочка использовала настройки.lnk для выполнения %LOCALAPPDATA%\Complaint.exe (Загрузчик RustyClaw в Rust, также с недопустимым сертификатом), который извлек полезную нагрузку (SHA-1 01D32FE88ECDEA2B934A00805E138034BF85BF83, внутреннее имя install_module_x64.dll ) из https://melamorri.com/iEZGPctehTZ ; наблюдаемый MeltingClaw C2 был https://gohazeldale.com .

#ParsedReport #CompletenessLow
19-08-2025

MadeYouReset

https://deepness-lab.org/publications/madeyoureset/

Report completeness: Low

Threats:
Madeyoureset_technique

Victims:
Web infrastructure

Industry:
Education

CVEs:
CVE-2025-8671 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-54500 [Vulners]
CVSS V3.1: 6.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-55163 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-48989 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache tomcat (<9.0.108, <10.1.44, <11.0.10, 9.0.0)

CVE-2025-36047 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ibm websphere_application_server (<25.0.0.9)


ChatGPT TTPs:
do not use without manual check
T1498

Soft:
Apache Tomcat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MadeYouReset - это класс дефектов реализации HTTP/2, вызванных общим недостатком дизайна в том, как функции протокола обрабатываются в нескольких кодовых базах, что позволяет злоупотреблять поведением на уровне протокола. Он нацелен на обработку HTTP/2 на серверах и прокси-серверах и может быть запущен без проверки подлинности с помощью обычных взаимодействий HTTP/2, что приведет к исчерпанию ресурсов и крупномасштабному DoS. Множественные CVE соответствуют различным проявлениям в разных реализациях.
-----

MadeYouReset - это недавно раскрытый класс уязвимостей реализации HTTP/2, который проистекает из общего конструктивного недостатка в том, как функции HTTP/2 реализуются в нескольких кодовых базах. Этот недостаток позволяет злоумышленнику запускать крупномасштабные условия отказа в обслуживании на затронутых серверах, злоупотребляя поведением на уровне протокола, а не полагаясь на ошибки прикладного уровня. Различным проявлениям проблемы было присвоено несколько CVE, указывающих на различные уязвимые компоненты или варианты в разных реализациях.

Целью эксплуатации являются пути обработки протокола HTTP/2 в стеках серверов и прокси-серверов; поскольку основной причиной является общность дизайна/реализации, воздействию подвергся широкий спектр продуктов, поддерживающих HTTP/2. Совокупный эффект - это способность вызывать истощение ресурсов или иным образом нарушать нормальную обработку запросов в масштабе, позволяя проводить массированные DoS-атаки, которые могут повлиять на доступность для многих клиентов одновременно. Класс уязвимостей примечателен тем, что их можно использовать без аутентификации и с использованием стандартных взаимодействий HTTP/2, что увеличивает потенциальную поверхность атаки для конечных точек, подключенных к Интернету и поддерживающих протокол.

Поставщики выпустили исправления, устраняющие выявленные CVE; исправления обычно требуют обновления стеков HTTP/2 или применения обновлений программного обеспечения, предоставляемых поставщиком. Немедленные меры по устранению неполадок заключаются в применении этих исправлений, отключении HTTP/2, где это возможно, до обновления систем и мониторинге трафика на предмет аномальных шаблонов HTTP/2, соответствующих поведению DoS. Операторам следует провести инвентаризацию сервисов с поддержкой HTTP/2, сопоставить их с опубликованными идентификаторами CVE и определить приоритетность исправления общедоступной инфраструктуры.

#ParsedReport #CompletenessHigh
20-08-2025

A Cereal Offender: Analyzing the CORNFLAKE.V3 Backdoor

https://cloud.google.com/blog/topics/threat-intelligence/analyzing-cornflake-v3-backdoor/

Report completeness: High

Actors/Campaigns:
Landupdate808 (motivation: financially_motivated)
Unc5774 (motivation: financially_motivated)
Unc4108

Threats:
Cornflake
Clickfix_technique
Fakecaptcha_technique
Netsupportmanager_rat
Voltmarker
Seo_poisoning_technique
Credential_harvesting_technique
Kerberoasting_technique
Nltest_tool
Windytwist

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1018, T1033, T1036, T1047, T1057, T1059.001, T1059.007, T1069.002, T1071.001, T1082, have more...

IOCs:
Registry: 5
Command: 2
Url: 6
File: 31
Path: 8
IP: 5
Domain: 3
Hash: 3

Soft:
Node.js, UNIX, QEMU, active directory, Trycloudflare

Algorithms:
xor, md5, zip, base64

Functions:
Get-WmiObject, Get-Service, Get-PSDrive, mainloop, Get-LocalGroup, Get-LocalGroupMember, Get-Clipboard

Languages:
powershell, java, php, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chats: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор CORNFLAKE.V3, связанный с хакерскими группировками UNC5518 и UNC5774, использует страницы fake CAPTCHA для развертывания сценария загрузки, инициирующего цепочку заражения вредоносным ПО. Он поставляется в версиях JavaScript и PHP и подключается к серверу управления для выполнения различных полезных нагрузок, включая команды оболочки и библиотеки DLL, одновременно собирая системную информацию и выполняя разведку Active Directory, включая Керберостинг на предмет кражи учетных данных. Последний вариант, реализованный на PHP, сохраняет аналогичные функциональные возможности и извлекает дополнительную полезную нагрузку, подчеркивая растущую сложность этих скоординированных киберугроз.
-----

Бэкдор CORNFLAKE.V3, являющийся частью кампании, связанной с хакерскими группировками UNC5518 и UNC5774, расследуется Mandiant Threat Defense с середины 2024 года. UNC5518 преимущественно использует легальные веб-сайты, предоставляя страницы проверки fake CAPTCHA для распространения скрипта-загрузчика, инициируя цепочку заражения вредоносным ПО. Эта финансовая группа часто сотрудничает с другими акторами, которые используют полученный доступ для дальнейшего внедрения вредоносных программ.

CORNFLAKE.V3 проявляется в двух вариантах, написанных либо на JavaScript, либо на PHP. Он извлекает полезную нагрузку через HTTP, что позволяет ему выполнять различные типы файлов, включая команды оболочки, исполняемые файлы и библиотеки динамических ссылок (DLL). Бэкдор способен собирать базовую системную информацию и передавать ее на удаленный сервер с дополнительной возможностью злоупотреблять туннелями Cloudflare для передачи трафика через прокси. Вредоносное ПО продемонстрировало способность к закреплению и может гарантировать, что одновременно запущен только один экземпляр.

После запуска CORNFLAKE.V3 выполняет первоначальные проверки и собирает системную информацию, прежде чем установить соединение со своим сервером управления (C2). Он использует два списка (hosts и hostsIP) для управления своей связью, пытаясь подключиться к случайным записям из этих списков. Основная функция бэкдора отправляет первоначальный POST-запрос на сервер C2, содержащий зашифрованную системную информацию и результаты выполнения. Для закрепления он использует аргументы командной строки "node.exe " обработайте, извлеките и запишите исходный вредоносный скрипт в файл журнала в Node.js установочный каталог.

Вредоносное ПО может выполнять различные полезные функции. Примечательно, что было замечено проведение разведки Active Directory, которая включает в себя такие действия, как подсчет количества компьютерных объектов в домене, отображение подробного пользовательского контекста, перечисление доверенных доменов, перечисление контроллеров домена и запрос имен участников службы (SPN). Второй важной возможностью является Керберостинг, при котором он запрашивает учетные записи пользователей, связанные с SPN, для сбора учетных данных. Хэши паролей, полученные с помощью этого метода, передаются на сервер C2 для потенциального взлома.

Появился недавний вариант CORNFLAKE.V3, реализованный на PHP, сохраняющий те же функциональные возможности, что и оригинальный Node.js версия. Кроме того, после взаимодействия с сервером C2 бэкдор извлекает полезную нагрузку DLL, в частности WINDYTWIST.Бэкдор SEA, который затем запускается, еще больше расширяя его возможности в скомпрометированной среде.

Расследование подчеркивает совместную динамику современных киберугроз, иллюстрируя, как UNC5518 извлекает выгоду из скомпрометированных сайтов, в то время как другие группы, такие как UNC5774, внедряют универсальное вредоносное ПО для достижения дальнейших оперативных целей. Сосредоточение внимания на разведке и краже учетных данных свидетельствует о четком намерении перемещения внутри компании в целевых сетях, подчеркивая растущую сложность и опасность, исходящую от таких злоумышленников.

#ParsedReport #CompletenessLow
20-08-2025

Russian state-sponsored espionage group Static Tundra compromises unpatched end-of-life network devices

https://blog.talosintelligence.com/static-tundra/

Report completeness: Low

Actors/Campaigns:
Static_tundra (motivation: cyber_espionage)
Energeticbear

Threats:
Synful_knock

Victims:
Telecommunications, Higher education, Manufacturing

Industry:
Education, Telco, Government

Geo:
Africa, Ukraine, Ukrainian, Russia, America, Russian, Asia

CVEs:
CVE-2018-0171 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios (15.2\(5\)e)


TTPs:
Tactics: 7
Technics: 0

IOCs:
IP: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Static Tundra, спонсируемая российским государством группа кибершпионажа, связанная с подразделением "Центр 16" ФСБ, использует уязвимость CVE-2018-0171 в программном обеспечении Cisco IOS для атак на телекоммуникационный, образовательный и производственный секторы по всему миру. Группа уделяет особое внимание установлению постоянного доступа с помощью таких инструментов, как имплантат для прошивки SYNful Knock, и использует скомпрометированные строки сообщества SNMP для постоянного наблюдения. Их деятельность сосредоточена на перекачивании сетевого трафика и использовании сложных методов, позволяющих избежать обнаружения и сохранить контроль над скомпрометированными устройствами.
-----

Static Tundra - это спонсируемая российским государством группа кибершпионажа, предположительно связанная с подразделением ФСБ "Центр-16", известная своими давними операциями, в основном сосредоточенными на использовании Сетевых устройств для сбора разведывательной информации. Группа активно использует известную уязвимость CVE-2018-0171, которая была обнаружена семь лет назад в функции интеллектуальной установки программного обеспечения Cisco IOS. Эта уязвимость позволяет злоумышленникам использовать непатентованные и устаревшие устройства, которые являются критически важными объектами безопасности. Static Tundra в первую очередь ориентирована на организации в сфере телекоммуникаций, высшего образования и обрабатывающей промышленности во многих регионах, включая Северную Америку, Азию, Африку и Европу, уделяя особое внимание стратегическим национальным интересам.

Тактика Static Tundra делает упор на обеспечение постоянного доступа к скомпрометированным сетевым средам для длительного шпионажа. Группа использует ряд сложных методов для обеспечения незаметного доступа, в частности, историческую прошивку SYNful Knock implant и пользовательские инструменты SNMP. Использование CVE-2018-0171 является ключевым аспектом стратегии первоначального доступа, позволяющим осуществлять несанкционированные удаленные атаки, которые могут привести к отказу в обслуживании или выполнению произвольного кода. После первоначального доступа Static Tundra манипулирует службой SNMP, используя ранее скомпрометированные строки сообщества, и иногда запутывает их инфраструктуру, подменяя исходные адреса. Это позволяет обходить списки контроля доступа и облегчает выполнение команд и извлечение конфигураций.

Чтобы обеспечить долговечность своих атак, Static Tundra часто полагается на скомпрометированные строки сообщества SNMP и учетные данные, создавая привилегированные Локальные учетные записи для поддержания доступа в течение нескольких лет. Их способность изменять конфигурации TACACS+ на скомпрометированных устройствах рассматривалась как метод обхода защиты, который нарушает ведение журнала и позволяет манипулировать доступом. Для обнаружения группа использует общедоступные службы сканирования для определения местоположения потенциальных целей и использует собственные команды для скрытного обнаружения дополнительных систем, представляющих интерес.

Цели сбора включают захват значительного сетевого трафика путем создания туннелей GRE для передачи данных обратно в инфраструктуру, контролируемую злоумышленниками, и эксфильтрацию информации с помощью различных средств, включая TFTP и FTP-соединения. Cisco предоставила превентивные меры, заявив, что организациям следует исправить CVE-2018-0171 или отключить функцию интеллектуальной установки на уязвимых устройствах. Рекомендации включают применение передовых методов обеспечения безопасности, таких как использование сложных учетных данных, внедрение Многофакторной аутентификации и соблюдение руководств по ужесточению требований, поощряя при этом активное управление устаревшими технологиями. Поддержание актуальной осведомленности о рекомендациях по безопасности также важно для устранения уязвимостей, на которые нацелены сложные злоумышленники, такие как Static Tundra.

#ParsedReport #CompletenessMedium
20-08-2025

Dark Web Profile: Beast Ransomware

https://socradar.io/dark-web-profile-beast-ransomware/

Report completeness: Medium

Threats:
Beast_ransomware
Monster_ransomware
Shadow_copies_delete_technique
Boramae
Vidar_stealer
Process_injection_technique

Industry:
E-commerce, Healthcare, Education

Geo:
Russia, Denmark, Guatemala, Belgium, Czechia, Chinese, Russian, India

TTPs:
Tactics: 9
Technics: 19

IOCs:
File: 3

Soft:
Linux, ESXi, OpenSSL, MSSQL, QuickBooks, Windows Service

Algorithms:
ecdh, chacha20, xor

Languages:
delphi, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Beast Ransomware, разновидность штамма Monster, появилась в марте 2022 года и в основном действует из Восточной Европы или России, нацеливаясь на организации в основном в Соединенных Штатах и в нескольких других странах. Его методы распространения используют электронные письма с фишингом и скомпрометированные конечные точки RDP, при этом некоторые кампании используют вводящие в заблуждение сообщения о нарушениях авторских прав или поддельные резюме для доставки замаскированных исполняемых файлов вредоносного ПО. Модель "Программа-вымогатель как услуга" указывает на различные тактики вторжения, включая социальную инженерию и использование слабых учетных данных.
-----

Beast Ransomware, эволюционировавший вариант более раннего штамма Monster, впервые появился в марте 2022 года, и его деятельность набирала обороты через российскую анонимную торговую площадку (RAMP). Аналитики полагают, что злоумышленники, стоящие за этим программным обеспечением-вымогателем, в основном действуют из Восточной Европы или России. Программа-вымогатель в первую очередь была нацелена на организации в Соединенных Штатах, при этом подтверждены инциденты с участием десяти жертв. Дополнительные зарегистрированные случаи включают организации в Чехии, Бельгии, Дании, Индии и Гватемале, что указывает на целенаправленный, но международный оперативный охват.

Оперативные методы, используемые филиалами Beast, включают различные точки входа для развертывания Ransomware. Исследователи безопасности отмечают, что типичными векторами вторжений являются электронные письма с фишингом и скомпрометированные конечные точки Протокола удаленного рабочего стола (RDP). Эти методы часто дополняются учетными данными, приобретенными на подпольных форумах, что соответствует распространенной практике, наблюдаемой среди групп вымогателей. В 2024 году была выявлена заметная кампания, в ходе которой Beast распространялся с помощью попыток фишинга, замаскированных под предупреждения о нарушении авторских прав или ложные резюме, при этом зараженные электронные письма были связаны с внешними страницами, содержащими сжатые архивы. Эти архивы часто маскировали исполняемые файлы Beast внутри файлов, которые казались безобидными, используя значки HWP или Excel.

Учитывая модель "Программа-вымогатель как услуга", используемую Beast, тактика вторжения может сильно отличаться в разных кампаниях. Некоторые случаи могут в значительной степени зависеть от социальной инженерии посредством фишинга, в то время как другие могут использовать незащищенные сервисы или слабые методы проверки учетных данных. Такая изменчивость требует от организаций комплексной и многоуровневой стратегии защиты, включающей меры по предотвращению, обнаружению и восстановлению, подкрепленные надежными возможностями разведки киберугроз (CTI). Такая стратегия имеет решающее значение для снижения риска, связанного с различными методологиями, используемыми Beast Ransomware и его филиалами.

#ParsedReport #CompletenessLow
20-08-2025

DIANNA Explains 3DBatLoader: Master of Disguise

https://www.deepinstinct.com/blog/dianna-explains-3-dbatloader-master-of-disguise

Report completeness: Low

Threats:
Dbatloader

Industry:
Software_development

IOCs:
File: 5

Win API:
GetTickCount

Languages:
delphi

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DBatLoader - это сложное вредоносное ПО на базе Delphi, которое использует мощные методы запутывания, чтобы избежать обнаружения и усложнить анализ. Его разработка отражает тенденцию, когда злоумышленники используют законные структуры для создания продвинутых киберугроз, что свидетельствует об их адаптивности и находчивости. Появление DBatLoader подчеркивает растущую сложность и анонимность разработки вредоносного ПО, что создает проблемы для специалистов по кибербезопасности при выявлении таких угроз и борьбе с ними.
-----

DBatLoader - это сложное вредоносное ПО, разработанное с использованием языка программирования Delphi, демонстрирующее тенденцию, когда злоумышленники используют широко используемые фреймворки для создания продвинутых киберугроз. В качестве примечательного аспекта своей функциональности DBatLoader демонстрирует мощные методы запутывания, позволяющие ему избегать обнаружения и усложняющие анализ. Дизайн этого вредоносного ПО отражает значительный сдвиг в том, как действуют киберпреступники, указывая на то, что они используют законные технологии для создания вводящих в заблуждение и мощных угроз.

Возможности вредоносного ПО предполагают определенный уровень адаптивности, поскольку его создатели, похоже, выбирают среды разработки, основанные на эффективности, а не на традиционных ассоциациях с разработкой вредоносного ПО. Выбор Delphi, часто связанного с устаревшими бизнес-приложениями, подчеркивает универсальность и изобретательность злоумышленников в их стремлении к запутыванию и скрытности.

Хронология обнаружения DBatLoader's подчеркивает текущие проблемы, с которыми сталкиваются специалисты по кибербезопасности при выявлении возникающих угроз и борьбе с ними. По мере того как разработка вредоносного ПО становится все более сложной и анонимной, это вызывает тревогу по поводу прогнозируемой эволюции киберугроз, подчеркивая необходимость постоянного мониторинга и инновационных стратегий обнаружения. Поведение DBatLoader служит напоминанием об опасностях, связанных с таким продвинутым запутыванием, усиливая важность бдительности в практиках кибербезопасности.

#ParsedReport #CompletenessHigh
20-08-2025

Warlock: From SharePoint Vulnerability Exploit to Enterprise Ransomware

https://www.trendmicro.com/en_us/research/25/h/warlock-ransomware.html

Report completeness: High

Actors/Campaigns:
Emissary_panda
Apt31
Storm-2603

Threats:
X2anylock
Rclone_tool
Blackbasta
Toolshell_vuln
Trojan.bat.killlav.h
Trojan.win64.killlav.i
Cloudflared_tool
Nltest_tool
Credential_dumping_technique
Mimikatz_tool
Crackmapexec_tool
Secretsdump_tool
Lockbit
Dll_sideloading_technique
Cobalt_strike_tool
Xiebroc2_tool
Ransom.win32.warlock.a
Jadtre

Victims:
Technology, Critical infrastructure, Finance, Electronics, Amea region

Industry:
Critical_infrastructure, Government, Financial

Geo:
Portugal, Africa, Turkey, America, Middle east, Asia, Croatia

CVEs:
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam_backup_\&_replication (<11.0.1.1261, 12.0.0.1420)


TTPs:
Tactics: 9
Technics: 0

IOCs:
File: 89
Command: 16
Path: 7
Registry: 1
Hash: 4

Soft:
Microsoft SharePoint, Microsoft SharePoint server, nginx, PccNTMon, SharePoint server, Active Directory, Windows registry, QuickBooks, DefWatch, firefox, have more...

Algorithms:
7zip

Functions:
Get-Veeam-Creds

Win Services:
Ntrtscan, CNTAoSMgr, ccSetMgr, VeeamNFSSvc, SavRoam, RTVscan, PDVFSService, QBFCService, BackupExecVSSProvider, QBIDPService, have more...

Languages:
powershell, swift, java

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 9, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Warlock ransomware нацелен на незащищенные серверы Microsoft SharePoint, чтобы получить доступ и внедрить программу-вымогателя, одновременно извлекая конфиденциальные данные. Злоумышленники используют уязвимости для загрузки Веб-шеллов, облегчая разведку и кражу учетных данных, используя такие инструменты, как Mimikatz для credential Dumping и SMB для перемещения внутри компании. Программа-вымогатель шифрует файлы с расширением ".x2anylock", использует RClone для скрытой эксфильтрации данных и использует определенную уязвимость (CVE-2023-27532) в программном обеспечении резервного копирования Veeam для улучшения своей работы.
-----

Warlock ransomware использует уязвимости в незащищенных серверах Microsoft SharePoint для проникновения в корпоративные сети, повышения привилегий и развертывания программ-вымогателей с одновременной фильтрацией данных. Группа инициирует атаки, отправляя целевые HTTP POST-запросы для загрузки Веб-шеллов на уязвимые экземпляры SharePoint, что облегчает разведку и кражу учетных данных. Воздействие программы-вымогателя было широкомасштабным, затрагивая организации на различных континентах и в отраслях промышленности, при этом операции включали такие тактики, как злоупотребление групповой политикой и перемещение внутри компании с использованием как встроенных инструментов Windows, так и специально разработанного вредоносного ПО.

Атака начинается с использования уязвимостей Microsoft SharePoint, предоставляя злоумышленникам первоначальный доступ к внутренней сети. Они запускают пакетный файл, обнаруженный как Trojan.BAT.KILLLAV.H, подключаясь к удаленному файловому ресурсу, используя жестко закодированные учетные данные для копирования различных файлов, включая двоичный файл программы-вымогателя, в общую папку в системе. Разведка в целевой среде обширна и может включать в себя credential Dumping с помощью Mimikatz, который злоумышленники используют для получения учетных данных.

Для перемещения внутри компании группа использует Службы удаленного доступа, в частности Server Message Block (SMB), для передачи полезной нагрузки между компьютерами. Это позволяет проводить дальнейшую эксплуатацию и выполнять дополнительные полезные нагрузки. Warlock ransomware шифрует файлы, добавляя расширение ".x2anylock", и отправляет уведомление о выкупе в уязвимые каталоги, чтобы сообщить жертвам о шифровании.

Скрытый канал управления (C&C) устанавливается в скомпрометированной среде с использованием тактики Туннелирования протокола, которая помогает скрыть присутствие злоумышленника. Процедура эксфильтрации использует RClone, законный инструмент синхронизации, замаскированный под доброкачественный исполняемый файл, для передачи целевых данных во внешнее хранилище, часто используя для этого скомпрометированную учетную запись ProtonMail.

Анализ предыдущих попыток развертывания показал, что злоумышленники также использовали различные исполняемые файлы, даже переименовывая их, чтобы имитировать законные процессы, что помогает избежать обнаружения и поддерживать закрепление в системе. Их действия выявили использование уязвимости в программном обеспечении резервного копирования Veeam (CVE-2023-27532), которая позволяет злоумышленникам нацеливаться на системы, работающие с устаревшим программным обеспечением, что значительно подрывает инфраструктуру резервного копирования.

Кроме того, чтобы запутать свою деятельность, злоумышленники используют такие утилиты, как writenull.exe для перезаписи дискового пространства нулевыми байтами, что усложняет судебно-медицинскую экспертизу и препятствует восстановлению данных. Операция Warlock ransomware является примером сложной цепочки атак, демонстрирующей настоятельную необходимость для организаций использовать комплексные стратегии исправления, усиления механизмов сетевой защиты и многогранные возможности обнаружения для эффективного противодействия подобным угрозам.