#ParsedReport #CompletenessLow
21-08-2025

Internet Archive Abused for Hosting Stealthy JScript Loader Malware

https://cybersecuritynews.com/internet-archive-abused/

Report completeness: Low

Threats:
Remcos_rat
X2anylock

Victims:
Internet archive users

ChatGPT TTPs:
do not use without manual check
T1027

IOCs:
File: 5
Registry: 1

Algorithms:
base64

Languages:
powershell, jscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние результаты выявили новый метод распространения вредоносного ПО, использующий Internet Archive для доставки запутанного вредоносного ПО JScript loader, что позволяет злоумышленникам обходить традиционные меры безопасности. Загрузчик уклоняется от обнаружения с помощью обфускации, усложняя анализ и используя легитимность архива для сокрытия вредоносных действий. Эта тактика подчеркивает существующие уязвимости, позволяя злоумышленникам распространять вредоносную полезную нагрузку, приводящую к компрометации системы или эксфильтрации данных, что свидетельствует о повышении изощренности злоумышленников.
-----

Недавнее исследование выявило новый метод распространения вредоносного ПО, который использует инфраструктуру Internet Archive для доставки вредоносного ПО JScript loader. Этот подход предполагает использование законных ресурсов архива для размещения скрытой полезной нагрузки, что позволяет злоумышленникам обходить традиционные меры безопасности и повышать скрытность своих операций.

Загрузчик JScript разработан таким образом, чтобы избежать обнаружения с помощью различных методов, таких как обфускация, которая усложняет анализ и затрудняет идентификацию с помощью средств безопасности. Используя такую авторитетную платформу, как Internet Archive, злоумышленники могут скрывать свою деятельность, поскольку законный трафик на этот широко используемый ресурс может не вызывать немедленного беспокойства у систем безопасности.

Исследования цепочки доставки показывают, как этот метод может способствовать дальнейшему распространению вредоносных программ, потенциально приводя к целому ряду вредных последствий, включая компрометацию системы, эксфильтрацию данных или развертывание дополнительного вредоносного ПО. Эта тактика выявляет сохраняющиеся уязвимости как в инфраструктуре, так и в протоколах безопасности, подчеркивая необходимость бдительности и адаптивности в стратегиях обнаружения и предотвращения угроз.

Общий смысл этой тактики предполагает, что злоумышленники становятся все более изощренными в использовании надежных платформ в неблаговидных целях, тем самым ставя под сомнение эффективность обычных мер безопасности. Организации должны оставаться в курсе таких развивающихся угроз и усиливать свою защиту от подобных атак в будущем.

#ParsedReport #CompletenessMedium
21-08-2025

Malicious Go Module Disguised as SSH Brute Forcer Exfiltrates Credentials via Telegram

https://socket.dev/blog/malicious-go-module-disguised-as-ssh-brute-forcer-exfiltrates-credentials

Report completeness: Medium

Actors/Campaigns:
Illdieanyway

Threats:
Webadmin_tool
Selica-c2
Supply_chain_technique

Victims:
Ssh services, Software supply chain users

Industry:
Telco, Iot

Geo:
Russian

TTPs:
Tactics: 2
Technics: 8

IOCs:
File: 9
Url: 1

Soft:
Telegram, Outlook, alpine, Linux, phpMyAdmin, Fortnite

Platforms:
cross-platform

Links:
https://github.com/IllDieAnyway
have more...
https://pkg.go.dev/github.com/illdieanyway/golang-random-ip-ssh-bruteforce@v0.0.0-20220624110449-9d819518d4fc
https://socket.dev/go/package/github.com/illdieanyway/golang-random-ip-ssh-bruteforce?version=v0.0.0-20220624110449-9d819518d4fc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно идентифицированный вредоносный модуль Go "golang-random-ip-ssh-bruteforce", связанный с русскоязычным злоумышленником, использует случайную генерацию IPv4-адресов для поиска открытых SSH-портов для брутфорса учетных данных. Он использует статический список слов для попыток входа в систему и имеет небезопасный обратный вызов ключа хоста, позволяющий избежать проверок сервера. Успешный вход в систему запускает немедленную эксфильтрацию учетных данных пользователя в жестко запрограммированный Telegram-бот, подчеркивая автономные возможности модуля и методы скрытой передачи данных, которые могут обойти базовые системы обнаружения.
-----

Недавно выявленный вредоносный модуль Go, замаскированный под брутфорсер SSH с именем "golang-random-ip-ssh-bruteforce", был связан с русскоязычным злоумышленником, который использует Telegram для эксфильтрации учетных данных. Этот модуль работает путем генерации случайных IPv4-адресов и проверки наличия открытого TCP-порта 22, типичного для служб SSH. При обнаружении открытого порта он пытается выполнить одновременный вход в систему по SSH, используя локально сохраненный короткий статический список слов. Реализация включает в себя небезопасный обратный вызов ключа хоста, который обходит проверки идентификации сервера, позволяя вредоносному ПО работать без разбора.

После успешной аутентификации модуль передает IP-адрес, имя пользователя и пароль идентифицированной цели жестко запрограммированному Telegram-боту, которым управляет злоумышленник. Такой конструктивный выбор, наряду с отсутствием возможности подключения к сети, позволяет модулю функционировать полностью автономно до тех пор, пока не будет достигнут успешный вход в систему, после чего он подключается к Telegram для немедленной передачи данных перед выходом.

Такой подход иллюстрирует четкую стратегию; выпуская быструю и эффективную утилиту сканирования, злоумышленник может переложить риск обнаружения на тех, кто работает с вредоносным ПО, одновременно объединяя успешные учетные данные в единый централизованный канал. Практика отключения проверки ключа хоста в сочетании с высоким уровнем параллелизма между случайными IP-адресами повышает эффективность работы, маскируя вредоносный трафик под безопасные HTTPS-запросы. Такая скрытность может позволить коммуникациям злоумышленника избежать обнаружения базовыми системами мониторинга исходящих данных.

Однако операторам, использующим этот модуль, крайне важно понимать юридические и эксплуатационные последствия. Использование сканирования портов и подбора учетных данных может привести к нарушению местных законов или политик допустимого использования, а также может привести к внесению в черный список интернет-провайдеров или Облачных сервисов.

Затронутые методы соответствуют нескольким тактикам, описанным в MITRE ATT&CK framework: T1195.002 охватывает компрометации, связанные с supply chain программного обеспечения; T1608.001 относится к загрузке вредоносного ПО; T1204.002 касается Выполнения с участием пользователя через Вредоносные файлы; T1046 посвящен Изучению сетевых служб; T1110.001 подробно Угадывание пароля стратегии; T1021.004 включает удаленные службы SSH; T1071.001 обсуждает эксфильтрацию через Веб-протоколы; и T1567 рассматривает Эксфильтрацию через веб-службы. Это всеобъемлющее описание тактики подчеркивает многогранную угрозу, которую представляет модуль Go.

#ParsedReport #CompletenessLow
21-08-2025

MITM6 + NTLM Relay: How IPv6 Auto-Configuration Leads to Full Domain Compromise

https://www.resecurity.com/blog/article/mitm6-ntlm-relay-how-ipv6-auto-configuration-leads-to-full-domain-compromise

Report completeness: Low

Threats:
Mitm6_technique
Ntlmrelayx_tool
Impacket_tool
Credential_stealing_technique
Crackmapexec_tool
Wmiexec_tool

Victims:
Active directory environments, Corporate environments

Industry:
Iot, Critical_infrastructure, Government

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.006, T1021.002, T1047, T1098, T1136.002, T1550.002, T1557, T1557.001

IOCs:
File: 1
Hash: 2

Soft:
Active Directory, Sudo, PsExec

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ретрансляционная атака MITM6 + NTLM нацелена на среды Active Directory, используя автоматическую настройку IPv6, что позволяет злоумышленникам настраивать поддельные серверы DHCPv6, которые перенаправляют сетевой трафик. Эта манипуляция позволяет перехватывать учетные данные с помощью ретрансляции NTLM, облегчая создание вредоносных учетных записей в домене, извлечение хэшей паролей и дальнейший доступ к сети. Такие инструменты, как mitm6, ntlmrelayx, CrackMapExec, WMIExec и PsExec, обычно используются для выполнения этой сложной последовательности атак.
-----

Ретрансляционная атака MITM6 + NTLM представляет собой серьезную угрозу для сред Active Directory, особенно из-за использования автоматической настройки IPv6 — процесса, который часто упускается из виду системными администраторами. Эта атака основана на том факте, что клиенты Windows автоматически отправляют запросы DHCPv6 при загрузке или подключении к сети, независимо от того, активно ли организация использует IPv6. Манипулируя этими запросами, злоумышленники могут установить вредоносные службы DHCPv6 и DNS, которые служат вредоносным целям.

Последовательность атак начинается с того, что злоумышленник развертывает вредоносный сервер DHCPv6, используя инструмент под названием mitm6. Этот сервер обманом заставляет сетевых клиентов перенаправлять свой трафик через компьютер злоумышленника. Как только эти клиенты пройдут аутентификацию, злоумышленник может затем ретранслировать попытки аутентификации в службу LDAP через NTLM relay, используя такой инструмент, как ntlmrelayx. Этот шаг имеет решающее значение, поскольку он облегчает сбор учетных данных, которые затем могут быть использованы для создания вредоносной учетной записи компьютера в домене.

Как только вредоносная учетная запись установлена, злоумышленник может изменить ее свойства, чтобы выдать себя за пользователя и извлечь хэши паролей из домена. Успешное получение действительных хэшей NTLM — будь то из учетных записей администратора или служб — обеспечивает дальнейший доступ к другим компьютерам в сети. Злоумышленники могут использовать CrackMapExec для проверки подлинности по различным IP-адресам, чтобы идентифицировать доступные цели, обеспечивая путь к более глубокому компрометированию системы.

Чтобы взять под контроль эти скомпрометированные системы, злоумышленники могут использовать такие инструменты, как WMIExec, который обеспечивает скрытый доступ без необходимости загрузки файлов, или PsExec, который позволяет проводить больше интерактивных сеансов, но влечет за собой отключение служб на удаленных хостах. Это подчеркивает критический характер поддержания надлежащих конфигураций безопасности и системных атрибутов мониторинга, поскольку разрешения по умолчанию, предоставляемые пользователям домена в отношении добавления учетных записей компьютеров, могут легко подорвать целостность всего домена.

Таким образом, ретрансляционная атака MITM6 + NTLM служит убедительным напоминанием о том, как упущенные конфигурации по умолчанию в средах Windows могут быть использованы для достижения полной компрометации домена. Это подчеркивает необходимость принятия упреждающих мер безопасности для снижения рисков, связанных с IPv6 по умолчанию, даже в средах, где этот протокол активно не применяется.

#ParsedReport #CompletenessLow
21-08-2025

Proxyware malware distributed on YouTube video download sites 2

https://asec.ahnlab.com/ko/89737/

Report completeness: Low

Threats:
Dropper/win.proxyware.c5783593
Dropper/win.proxyware.c5790716

IOCs:
Hash: 5
Url: 5
Domain: 5

Algorithms:
md5

Languages:
powershell

#ParsedReport #CompletenessHigh
21-08-2025

DragonForce Ransomware Attack Analysis Targets, TTPs and IoCs

https://cybersecuritynews.com/dragonforce-ransomware-attack/

Report completeness: High

Actors/Campaigns:
Dragonforce
Dragonforce_malaysia (motivation: hacktivism)

Threats:
Dragonforce_ransomware
Lockbit
Conti
Spear-phishing_technique
Log4shell_vuln
Anydesk_tool
Systembc

Industry:
Critical_infrastructure, Retail, Government

Geo:
Iran, Palau, Chinese

CVEs:
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1809 (<10.0.17763.5458)
- microsoft windows_10_21h2 (<10.0.19044.4046)
- microsoft windows_10_22h2 (<10.0.19045.4046)
- microsoft windows_11_21h2 (<10.0.22000.2777)
- microsoft windows_11_22h2 (<10.0.22621.3155)
have more...
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)


TTPs:
Tactics: 5
Technics: 12

IOCs:
IP: 3
Hash: 3
Path: 4
File: 3

Soft:
Ivanti

Algorithms:
sha256

Win API:
DuplicateTokenEx

Languages:
powershell, golang

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DragonForce - это сложная программа-вымогатель, которая началась в декабре 2023 года с использованием темного веб-портала "DragonLeaks". Он использует передовые тактические приемы, согласованные с платформой MITRE ATT&CK, используя различные методы первоначального доступа, включая социальную инженерию, фишинг и использование уязвимостей программного обеспечения для взлома корпоративных сетей. Способность группы быстро адаптироваться к контрмерам безопасности и постоянно совершенствовать свое вредоносное ПО отражает решительные усилия по повышению эффективности своих атак с использованием программ-вымогателей.
-----

DragonForce - это продвинутая программа-вымогатель, появившаяся в декабре 2023 года и характеризующаяся своим значительным присутствием на рынке киберугроз. В основе его деятельности лежит темный веб-портал "DragonLeaks", который способствовал его деятельности с момента своего создания. Группа демонстрирует тонкое понимание организационных уязвимостей и использует различные изощренные векторы атак для первоначального доступа к целевым сетям.

С точки зрения тактики, методов и процедур (TTP) DragonForce соответствует платформе MITRE ATT&CK, отражающей всестороннее понимание методов компрометации корпоративных сетей. Оперативные стратегии группы свидетельствуют о хорошо скоординированном подходе к внедрению программ-вымогателей, включающем детальную разведку и использование пробелов в безопасности в целевых средах.

Конкретные методы первоначального доступа, используемые DragonForce, не были подробно описаны, но известно, что они используют ряд уязвимостей в цифровой инфраструктуре предприятия. Это включает в себя использование тактики социальной инженерии, схем фишинга и использование известных уязвимостей программного обеспечения, чтобы закрепиться в сети цели.

Кроме того, быстрая адаптация DragonForce's к новым мерам безопасности подчеркивает ее способность развивать и совершенствовать свою тактику в ответ на контрмеры сообщества кибербезопасности. Непрерывная разработка их вредоносного ПО и связанных с ним инструментов означает постоянное стремление максимально увеличить воздействие их атак с использованием программ-вымогателей.

Растущая распространенность таких изощренных групп программ-вымогателей подчеркивает необходимость принятия надежных защитных мер и упреждающих методов кибергигиены для предотвращения потенциальных нарушений и минимизации рисков, связанных с атаками программ-вымогателей в сетях организаций.

#ParsedReport #CompletenessLow
21-08-2025

ESC2. I sign what I want

https://bi.zone/expertise/active-directory-certificate-services/esc2-podpisyvayu-chto-khochu/

Report completeness: Low

Threats:
Esc2_vuln
Certipy_tool
Rubeus_tool
Mimikatz_tool
Cobalt_strike_tool
Empire_loader
Mitm_technique

Victims:
Active directory environments

ChatGPT TTPs:
do not use without manual check
T1552.004, T1558.003

IOCs:
File: 3
Registry: 1

Soft:
Active Directory, Adfs

Functions:
Get-ChildItem, Get-ADObject

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Технология ESC2 представляет серьезную угрозу безопасности служб сертификации Active Directory (AD CS), поскольку позволяет неавторизованным пользователям создавать универсальные сертификаты, подрывая безопасность домена. Неправильные настройки в AD CS позволяют обычным пользователям выдавать сертификаты, способствуя повышению привилегий, Имперсонации пользователей и несанкционированным подключениям. Эта уязвимость вызывает особое беспокойство, поскольку ею могут воспользоваться злоумышленники с низкой квалификацией из-за снижения барьеров для доступа.
-----

Технология ESC2 представляет значительную угрозу безопасности служб сертификации Active Directory (AD CS). Этот метод позволяет неавторизованным пользователям создавать универсальные сертификаты, что потенциально подрывает целостность системы безопасности домена. Имея возможность выдавать эти сертификаты, злоумышленник может повысить свои привилегии и получить дополнительный доступ к сети.

Эта уязвимость возникает из-за неправильной настройки в AD CS, где выделяются определенные разрешения, которые в идеале должны быть ограничены более доверенными пользователями или администраторами. Используя эти неправильные настройки, обычный пользователь может подписывать сертификаты, которые в противном случае не входили бы в его компетенцию. Неправильное использование этих сертификатов может привести к целому ряду вредоносных действий, включая Имперсонацию законных пользователей и потенциальное установление доверенных соединений с другими системами в домене.

Опасность технологии ESC2 заключается в ее способности привлекать злоумышленников с низкой квалификацией, поскольку значительно снижаются препятствия для использования этой конфигурации. Таким образом, устранение этой угрозы требует строгого надзора и соблюдения лучших практик в управлении AD CS. Организации должны обеспечить правильную блокировку шаблонов сертификатов и разрешений, чтобы предотвратить получение таких возможностей неавторизованными пользователями. Регулярные аудиты и проверки политик доступа также необходимы для выявления и устранения потенциальных уязвимостей, прежде чем они смогут быть использованы.

#ParsedReport #CompletenessHigh
19-08-2025

Phantom Pains: A Massive Cyber Espionage Campaign and Possible Split of the PhantomCore APT Group

https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/phantom-pains-a-large-scale-cyber-espionage-campaign-and-a-possible-split-of-the-apt-group-phantomcore/

Report completeness: High

Actors/Campaigns:
Phantomcore

Threats:
Phantomcore
Phantomtaskshell
Meshagent_tool
Fakecaptcha_technique
Xenarmor_tool
Phantom_stealer
Phantomgoshell
Phantom_control_panel_tool
Meshcentral_tool
Phantomrat
Phantomrshall
Rclone_tool
Polyglot_technique
Anydesk_tool

Victims:
Critical infrastructure

Industry:
Healthcare, Software_development, Chemical, Financial, Critical_infrastructure

Geo:
Netherlands, Russia, Russian, Hong kong, Poland, Canadian, Germany, Finland, Moldova, France, Usa, Moscow

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.003, T1071.001, T1090, T1105, T1105, T1112, T1219, T1566.001, have more...

IOCs:
IP: 24
Path: 33
Command: 17
Domain: 1
File: 29
Hash: 17
Registry: 1

Soft:
RSOCX, UBUNTU, Yandex Browser, Google Chrome, Discord, Google Chrome, Discord, OpenSSH, chrome, Active Directory, Windows Defender, have more...

Algorithms:
base64, cbc, aes-256, sha256, zip

Win API:
ISDebuggerPreSent, COCREATEGUID, Getcomputernamew

Languages:
golang, python, powershell

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа PhantomCore, занимающаяся сложными целенаправленными атаками, действующая с начала 2024 года, нацелена на критически важную инфраструктуру России, используя самостоятельно разработанные инструменты для кибершпионажа. Их тактика включает в себя развертывание троянов RAT, замаскированных под ZIP-файлы, по электронной почте, использование сложной сегментации сети и использование сред VPS для непредсказуемой загрузки вредоносного ПО. Ключевые инструменты включают в себя бэкдор на базе Go Phantomrat и новые варианты, такие как Phantomgoshell, который позволяет выполнять команды через командную строку Windows, сохраняя при этом закрепление в скомпрометированных сетях.
-----

Группа PhantomCore, занимающаяся сложными целенаправленными атаками, впервые выявленная в начале 2024 года, активно занималась кибершпионажем, нацеленным на критически важную инфраструктуру России. Со временем группа развила свои наступательные возможности, интегрируя самостоятельно разработанные инструменты для проведения многочисленных атак.

В начале мая 2025 года группа внедрила троянские программы RAT, замаскированные под ZIP-архивы под названием "Documents_for_consideration" и доставленные по электронной почте. Методы, используемые PhantomCore, включают сложную сегментацию сетевой инфраструктуры, которая функционально организует их инструменты кибершпионажа. Известная тактика включает в себя использование VPS под управлением Ubuntu, оснащенного расширенными SSH-сервисами, с портами HTTP и HTTPS, которые переключаются между открытым и закрытым состояниями, чтобы облегчить загрузку вредоносного ПО в стратегически важные моменты.

Среди инструментов, используемых группой, - бэкдор на базе Go под названием Phantomrat, используемый для получения первоначального доступа и развертывания дальнейших вредоносных программ, таких как Phantomtaskshell, Phantomproxylite и Meshagent. Известно также, что группа использует RCLONE, утилиту с открытым исходным кодом для синхронизации данных, в целях эксфильтрации. Способы доставки включают использование polyglot files и Адреса эл. почты законных российских компаний.

Пик активности PhantomCore's пришелся на июнь 2025 года, когда сообщалось о 181 зараженном хосте; средняя продолжительность компрометации многих из них составляла 24 дня, а самая продолжительная - 78 дней. В настоящее время под контролем группы остаются 49 хостингов. Недавнее появление нового бэкдора под названием Phantomgoshell предполагает потенциальный раскол внутри группы, имеющий сходство с более ранними версиями, такими как Phantomrshell и Phantomrat. Этот новый бэкдор выполняет команды через командную строку Windows и реализовал методы для Изменения реестра и запуска инструментов удаленного рабочего стола, таких как Openor's Remote Desktop Connection и Anydesk.

Несмотря на совпадающие характеристики с предыдущими инструментами, показатели указывают на то, что в разработке и использовании этих вариантов вредоносного ПО могут быть задействованы различные хакерские группировки. В целом, деятельность PhantomCore's подчеркивает крайне скрытный и методичный подход к кибершпионажу, направленный на поддержание закрепления в скомпрометированных сетях при одновременном развитии их инструментария, позволяющего избежать обнаружения.