#ParsedReport #CompletenessLow
02-09-2025

Amazon disrupts watering hole campaign by Russias APT29

https://aws.amazon.com/ru/blogs/security/amazon-disrupts-watering-hole-campaign-by-russias-apt29/

Report completeness: Low

Actors/Campaigns:
Duke

Threats:
Watering_hole_technique
Credential_harvesting_technique
Clickfix_technique

Victims:
Academics, Critics of russia, General internet users

Geo:
Russias, Russia

ChatGPT TTPs:
do not use without manual check
T1036, T1059.003, T1111, T1189, T1204.001, T1204.002, T1550.001, T1556.004, T1566.001, T1566.002, have more...

IOCs:
Domain: 2

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда Amazon по анализу угроз прервала кампанию watering hole, связанную с APT29, используя скомпрометированные законные веб-сайты для облегчения сбора учетных записей с помощью процесса аутентификации по коду устройства Microsoft. Тактика APT29's эволюционировала, демонстрируя сосредоточенность на сборе разведывательной информации, о чем свидетельствуют их прошлые попытки фишинга, нацеленные на пользователей с файлами удаленного рабочего стола и паролями для конкретных приложений. Анализ выявил многочисленные домены, контролируемые акторами, включая домен, выдающий себя за Cloudflare, что подчеркивает сохраняющуюся угрозу, создаваемую адаптивными методологиями APT29's.
-----

Команда Amazon по разведке угроз успешно выявила и пресекла кампанию watering hole, приписываемую APT29, также известной как Midnight Blizzard, которая связана со Службой внешней разведки России (СВР). Эта кампания включала в себя компрометацию законных веб-сайтов, которые использовались для направления посетителей к вредоносным инфраструктурам, направленным на то, чтобы обманом заставить пользователей предоставить доступ к устройствам, контролируемым злоумышленниками, с помощью процесса аутентификации по коду устройства Microsoft. Этот метод отражает адаптивную стратегию APT29 по совершенствованию их операций по сбору разведывательной информации.

Тактика, применяемая APT29, значительно эволюционировала с течением времени. В более раннем инциденте, произошедшем в октябре 2024 года, злоумышленник выдавал себя за AWS для фишинга пользователей с помощью файлов Протокола удаленного рабочего стола, связанных с их ресурсами. После этого, в июне 2025 года, группа Google по анализу угроз раскрыла APT29's фишинг-атаки, нацеленные на ученых и критиков России, с использованием паролей для конкретных приложений. Текущая кампания watering hole подчеркивает неизменный акцент APT29's на сборе учетных записей и сборе разведывательной информации, что еще больше демонстрирует их усовершенствованные технические методики.

С помощью аналитики, разработанной Amazon специально для инфраструктуры APT29's, исследователи обнаружили множество доменов, контролируемых акторами. Проанализировав данные, они определили, что APT29 скомпрометировал несколько законных веб-сайтов, внедрив код JavaScript, который перенаправил около 10% посетителей на эти домены. Заметный домен, используемый в операции, findcloudflare.com , был разработан для имитации законных страниц проверки Cloudflare. Основной целью кампании было использование процесса аутентификации по коду устройства Microsoft; однако важно отметить, что в ходе этой операции не было взлома систем Amazon Веб-служб (AWS) и никакого видимого воздействия на сервисы или инфраструктуру AWS.

Чтобы снизить риски, связанные с такими атаками, пользователям и организациям рекомендуется сохранять бдительность в отношении подозрительных цепочек перенаправлений, которые отображаются как страницы проверки безопасности. Крайне важно тщательно проверять законность любых запросов на авторизацию устройства, прежде чем разрешать их. Настоятельно рекомендуется внедрять Многофакторную аутентификацию (MFA) для всех учетных записей, что соответствует требованиям AWS к корневым учетным записям. Пользователям также следует быть осторожными с веб-страницами, требующими выполнения таких действий, как копирование и вставка команд или ввод данных в диалоговом окне запуска Windows (Win +R), что соответствует методу "ClickFix", который использует поведение пользователя для выполнения вредоносных команд.

#ParsedReport #CompletenessMedium
02-09-2025

Google Salesforce Breach: A Deep Dive into the UNC6040 Cyber Attack

https://www.seqrite.com/blog/google-salesforce-breach-unc6040-threat-research/

Report completeness: Medium

Actors/Campaigns:
Unc6040 (motivation: cyber_criminal, information_theft)
Unc6240
Shinyhunters
Unc6395
Lapsus
0ktapus
Shiny_spider

Threats:
Pandora
Sim_swapping_technique
Supply_chain_technique
Ultrasurf_tool
Disabling_antivirus_technique
Credential_dumping_technique
Adrecon_tool
Mimikatz_tool
Lazagne_tool
Spear-phishing_technique

Victims:
Google salesforce instance, Hospitality sector, Retail sector, Education sector, High profile brands

Industry:
Entertainment, Aerospace, Petroleum, Telco, Retail, Education, Financial

Geo:
Singapore, Canada, Los angeles, Poland, Americas, Germany, Netherlands, California

ChatGPT TTPs:
do not use without manual check
T1020, T1041, T1090, T1102, T1190, T1528, T1585, T1589, T1650, T1656, have more...

IOCs:
IP: 33
Domain: 3

Soft:
Salesforce, Salesloft Drift, Telegram, outlook

Crypto:
bitcoin

Algorithms:
exhibit

Functions:
VPNinitiated, Initial, count

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2025 года хакерская группировка UNC6040, связанная с "The Com" и "ShinyHunters", взломала инстанс Salesforce от Google с помощью фишинговой кампании, которая использовала социальную инженерию и технические эксплойты, включая несанкционированные приложения OAuth и скомпрометированные учетные записи. Злоумышленники использовали пользовательские скрипты на Python для извлечения данных и скрывали свои действия, используя TOR и Mullvad VPN. Взлом высветил растущие риски социальной инженерии в облачных средах и предположил потенциальный переход ShinyHunters к моделям "программа-вымогатель как услуга".
-----

В июне 2025 года инстанс Google Salesforce был взломан хакерской группировкой UNC6040, связанной с онлайн-преступным сообществом, известным как "The Com", которое связано с "ShinyHunters". Это нарушение стало результатом кампании вымогательства, которая сочетала в себе как техническую эксплуатацию, так и социальную инженерию. Первоначально злоумышленники получили доступ через несанкционированные приложения OAuth, установленные через пробные учетные записи с законными доменами электронной почты, а также через скомпрометированные учетные записи несвязанных организаций.

Атака включала в себя несколько приемов. Голосовой фишинг (vishing) использовался для манипулирования сотрудниками, чтобы заставить их разглашать конфиденциальную информацию. Как только доступ был получен, злоумышленники использовали пользовательские скрипты на Python, разработанные для имитации операций загрузчика данных Salesforce, что облегчало эксфильтрацию данных. Первоначальные сообщения направлялись через IP-адреса Mullvad VPN, при этом данные передавались через выходные узлы TOR, чтобы скрыть личности злоумышленников. Впоследствии злоумышленники вымогали у жертв платежи в биткоинах.

Атрибуция атаки была частично связана с Telegram-каналом под названием "Рассеянные охотники за LAPSUS$", который служил хаотичным форумом для деятельности группы, включая объявления об утечках, опросы о дампах данных жертв и продвижение эксплойтов zero-day. Эта платформа подчеркивала человеческий фактор киберэксплуатации, подчеркивая эффективность тактики социальной инженерии. Группа UNC6040 была известна тем, что нацелилась на высокопоставленные организации в различных отраслях промышленности, что еще раз продемонстрировало масштабируемость и универсальность их методов атаки.

В ответ на это нарушение было рекомендовано несколько стратегий по устранению последствий. Организациям рекомендуется постоянно отслеживать журналы на предмет подозрительных действий при входе в систему, особенно с незнакомых IP-адресов, связанных с Mullvad или TOR. Ведение динамического реестра авторизованных приложений OAuth в сочетании со строгими рабочими процессами утверждения имеет важное значение для предотвращения несанкционированной установки приложений. Дополнительные стратегии включают внедрение голосовой аналитики для проверки звонков, всесторонний анализ сетевого трафика для обнаружения аномалий и интеграцию надежных мер безопасности конечных точек для предотвращения выполнения вредоносного кода.

По мере развития ландшафта угроз атаки, подобные этой, демонстрируют все большие риски, связанные с облачными инфраструктурами. Потенциальная эволюция группы ShinyHunters в сторону моделей "программы-вымогатели как услуга" сигнализирует о тревожной тенденции в области киберугроз, требующей сосредоточения внимания на улучшении контроля идентификации и управления доступом и ужесточении управления OAuth. Организации также должны адаптировать свои методы мониторинга и принять подход с нулевым доверием для эффективной защиты от будущих атак. Нарушение подчеркивает необходимость принятия упреждающих мер по устранению уязвимостей, подчеркивая критическую необходимость для организаций пересмотреть свои подходы к обеспечению безопасности в свете этих сложных угроз.

#cyberthreattech

Обновление Report Hub

Мы научились извлекать из тела отчета YARA-правила.
Добавлен в STIX в виде Indicator с pattern_type=yara, согласно спецификации STIX 2.1
При помощи LLM и рекомендаций по формированию и оценки YARA-правил от Florian Roth (https://github.com/Neo23x0/YARA-Style-Guide) мы автоматический оцениваем все правила по следующим критериям (все параметры оцениваются во шкале [0.0, 10.0]):

detection_quality – качество детектирования конкретной малвари (см. рекомендации от Florian Roth)
resilience – качество детектирования семейства малвари
performance – оптимальность реализации правила в части производительности
documentation – качество документирования
tests – покрытие тестами, если эта информация присутствует.
maintenance – насколько легко вносить в правило изменения.
scope – соотношение покрытия и точности детектирования (1 – score = FP rate).
complexity – оценка стиля кода в части удобочитаемости и ясности структуры.

Также мы добавили ряд полей с описанием.
qa_notes – рекомендации по работе с правилом.
qa_recommendations – рекомендации по улучшению кода правила.
qa_score – консолидированная оценка правила, на основе описанных выше критериев.

❗️Учитывайте, что все оценки даны с использованием LLM, т.е. недетерминированным способом.

YARA-правила входят в состав STIX-бандла и при загрузке его в OpenCTI дополнительных настроек не требуется. Score Indicator в OpenCTI теперь учитывает qa_score YARA-правила.

#cyberthreattech

Обновление 2 Report Hub

Также мы теперь можем подсвечивать отчеты в которых есть упоминания данных конкретного клиента, т.е. добавлять в STIX доп. тег, который виден только клиенту, если в отчете есть:

- прямое упоминание названия его компании;
- присутствуют IP/ASN, Domain, Url из его инфраструктуры;
- если в Whois-записях по доменам присутствуют связанные с клиентом записи;
- если текст отчета содержит интересующие клиента слова.

Сам набор тегов и их названий можно кастомизировать под конкретного клиента.

Завтра (04.09.2025) в 11:00 по МСК коллеги из Касперского будут рассказывать про новый отчёт об исследовании группировок, многие из которых идентифицируют себя как «проукраинские».

https://lp.kaspersky.com/ru/stream-analytical-report-by-CTI-and-TE/

#ParsedReport #CompletenessMedium
03-09-2025

Analyzing NotDoor: Inside APT28s Expanding Arsenal

https://lab52.io/blog/analyzing-notdoor-inside-apt28s-expanding-arsenal/

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Notdoor
Dll_sideloading_technique

Victims:
Nato member countries companies, Multiple sectors

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1137.003, T1562.001, T1574.002

IOCs:
Path: 3
Command: 1
Url: 1
Email: 1
Hash: 3

Soft:
Outlook, Microsoft OneDrive, curl, Windows registry

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT28, связанная с российской разведкой, внедрила новый бэкдор под названием NotDoor, используя Microsoft OneDrive.exe чтобы избежать обнаружения, выполните DLL side-loading. Вредоносное ПО загружается злонамеренно SSPICLI.dll и расположен в c:\programdata\testtemp.ini , позволяя ему выполнить бэкдор VBA в Outlook. Скрытный характер NotDoor и минимальные возможности обнаружения отражают постоянную адаптацию тактики APT28's, что создает постоянные проблемы для защиты от кибербезопасности.
-----

LAB52, разведывательная группа S2 Grupo, выявила новый бэкдор под названием NotDoor, приписываемый хакерской группировке APT28, которая связана с российской разведкой. У этой группы есть история компрометации различных организаций в странах -членах НАТО. NotDoor работает с помощью сложного метода развертывания, использующего законный подписанный двоичный файл, в частности Microsoft OneDrive.exe , в котором используется технология DLL side-loading с боковой загрузкой. Этот механизм позволяет вредоносному ПО обходить обнаружение, загружая вредоносную библиотеку DLL с именем SSPICLI.dll . Вредоносное ПО стратегически размещено в c:\programdata\testtemp.ini чтобы запустить бэкдор VBA для Outlook.

Проект VBA, созданный NotDoor, функционирует как бесшумный бэкдор для Outlook и на момент анализа демонстрировал минимальные возможности обнаружения, что указывает на его скрытый характер. Такое закрепление APT28 в адаптации своей тактики и совершенствовании вредоносного ПО предполагает постоянные усилия по повышению операционной эффективности и обходу существующих мер безопасности.

Анализ подчеркивает необходимость усовершенствованных методик обнаружения для противодействия развивающемуся арсеналу APT28's и призывает обратить внимание на конкретные показатели компрометации, которые могли бы облегчить идентификацию угрозы. Такая эволюция их инструментов подчеркивает постоянную проблему для средств защиты от кибербезопасности, задачей которых является защита от изощренных акторов, спонсируемых государством.

#ParsedReport #CompletenessLow
03-09-2025

Ethereum smart contracts used to push malicious code on npm

https://www.reversinglabs.com/blog/ethereum-contracts-malicious-code

Report completeness: Low

Threats:
Supply_chain_technique
Ethers-provider2

Victims:
Open source repositories, Crypto focused developers

Industry:
E-commerce, Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1102, T1105, T1195, T1195.001

IOCs:
File: 2
Hash: 6
Coin: 1

Soft:
Twitter, Microsoft OneDrive, VSCode

Crypto:
ethereum, solana

Algorithms:
base64

Languages:
python, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ReversingLabs обнаружили в репозитории npm две части вредоносного ПО с открытым исходным кодом, которые используют смарт-контракты Ethereum для выполнения вредоносного кода, иллюстрируя сложную тенденцию в атаках на supply chain программного обеспечения. Пакет colortoolsv2 содержит запутанный скрипт, который извлекает команды с сервера управления, используя доверенную инфраструктуру, чтобы избежать обнаружения. Кроме того, манипуляции на GitHub показывают, что злоумышленники автоматизируют ввод кода для повышения легитимности, что еще больше усложняет идентификацию вредоносных действий в средах с открытым исходным кодом.
-----

В июле исследователи ReversingLabs обнаружили две новые части вредоносного ПО с открытым исходным кодом в репозитории пакетов npm, использующие новую технологию, которая использует смарт-контракты Ethereum для выполнения вредоносного кода. Это открытие является частью более широкой тенденции вредоносных кампаний в npm, известном хранилище пакетов JavaScript, которое в течение года подверглось серии атак.

Одним из примечательных примеров является пакет colortoolsv2, который выглядит простым, но содержит запутанный скрипт с именем index.js . Этот скрипт выполняется, когда пакет включен в проект, извлекая и запуская команды с сервера управления (C2). Этот метод свидетельствует о растущей изощренности злоумышленников, которые все чаще используют надежную инфраструктуру для размещения своих функций C2, что усложняет обнаружение.

Стратегия атаки, описанная здесь, согласуется с предыдущей тактикой, применявшейся в различных условиях. Например, ранее в этом году аналогичные шаблоны были задокументированы среди скомпрометированных пакетов Python, которые включали URL-адреса, закодированные в Base64, с целью сокрытия вредоносной активности. Использование смарт-контрактов Ethereum повышает уровень сложности и неизвестности, повышая эффективность этих атак.

Кроме того, предыстория этой кампании раскрывает обширную сеть манипуляций на таких платформах, как GitHub. В качестве конкретного примера приводится проект solana-trading-bot-v2, в котором было обнаружено завышенное количество коммитов кода с участием поддельных участников, что указывает на то, что злоумышленники создали автоматизированные системы для повышения воспринимаемой легитимности за счет увеличения активности. Эта автоматизация означает стратегические усилия по поддержанию видимости аутентичности при распространении вредоносного кода.

Тенденция атак на supply chain программного обеспечения, особенно нацеленных на программное обеспечение и инфраструктуру, ориентированные на криптовалюты, была постоянной. В 2024 году ReversingLabs наблюдала за многочисленными кампаниями, которые использовали уязвимости в репозиториях с открытым исходным кодом, при этом было задокументировано 23 случая внедрения вредоносного кода в этих средах. Продолжающееся использование этих уязвимостей подчеркивает необходимость бдительности и анализа в области безопасности supply chain, особенно в связи с тем, что такая тактика продолжает развиваться и становится все более изощренной.

#ParsedReport #CompletenessLow
03-09-2025

Model Namespace Reuse: An AI Supply-Chain Attack Exploiting Model Name Trust

https://unit42.paloaltonetworks.com/model-namespace-reuse/

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Cloud ai platforms, Open source projects

Industry:
Healthcare, Software_development

Geo:
Asia, Australia, Japan, Middle east, India

ChatGPT TTPs:
do not use without manual check
T1036, T1195, T1199, T1203, T1553, T1608

Soft:
Hugging Face, toothfAIry

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование выявило уязвимость под названием Model Namespace Reuse в рамках AI supply chain, позволяющую удаленно выполнять код (RCE) на таких платформах, как Microsoft Azure AI и Google Vertex AI. Этот недостаток связан с тем, как модели организованы в репозиториях, таких как Hugging Face, где передача прав собственности позволяет вредоносным акторам восстанавливать и развертывать скомпрометированные модели, используя их исходные пространства имен. Интеграция источников моделей на разных платформах искусственного интеллекта увеличивает риск, поскольку многие из них зависят от потенциально уязвимых моделей во время разработки.
-----

Недавнее исследование выявило значительную уязвимость в supply chain искусственного интеллекта, называемую повторным использованием пространства имен моделей, которая позволяет злоумышленникам выполнять удаленное выполнение кода (RCE) на таких платформах, как Microsoft Azure AI Foundry и Google Vertex AI. Эта уязвимость в первую очередь возникает из-за того, как модели организованы и идентифицируются в репозиториях, таких как Hugging Face, где модели хранятся как репозитории Git и на них ссылаются, используя соглашение об именовании Author/ModelName.

Этот недостаток особенно беспокоит из-за легкости, с которой право собственности на модели может быть передано на таких платформах, как Hugging Face. Например, организация может изначально создать законную модель, такую как "DentalAI/ToothFairy", которая предназначена для стоматологической диагностики. Однако позже право собственности может быть передано другому объекту, который может не гарантировать такую же целостность, позволяя потенциально вредоносным акторам восстанавливать и развертывать модель, используя исходное пространство имен, при выполнении вредоносного кода.

Последствия этого распространяются на распространенные платформы разработки ИИ. Интеграция Vertex AI с Hugging Face позволяет разработчикам создавать модели напрямую, без дополнительной упаковки, что повышает риск развертывания скомпрометированных моделей. Аналогичным образом, репозитории каталога моделей Azure AI содержат множество моделей, полученных из Hugging Face, которые могут быть уязвимы при использовании тех же принципов повторного использования пространства имен.

При дальнейшем изучении репозиториев с открытым исходным кодом исследователи обнаружили, что многие проекты основаны на моделях Hugging Face, использующих формат Author/ModelName, которые подвержены риску использования в результате передачи прав собственности. Проблема поддержания целостности модели усугубляется разнообразием используемых реестров моделей, что подчеркивает необходимость в надежных процессах валидации.

Для устранения этих уязвимостей рекомендуется несколько методов. Разработчикам следует использовать привязку версий для привязки моделей к определенным коммитам, избегая непреднамеренных изменений, которые могут привести к выполнению вредоносного кода. Кроме того, клонирование репозиториев моделей в защищенные среды, такие как внутренние реестры или локальное хранилище, после тщательной проверки может предотвратить несанкционированные изменения. Активное сканирование кодовых баз на предмет ссылок на модели также поможет специалистам-практикам выявлять зависимости, подверженные атакам supply chain, и управлять ими.

В конечном счете, полученные результаты подчеркивают настоятельную необходимость усиления мер безопасности в операциях supply chain с искусственным интеллектом, подчеркивая, что само по себе название модели не гарантирует ее надежности или целостности. Сложность усугубляется легкостью, с которой злоумышленники могут использовать традиционные методы идентификации моделей для внедрения уязвимостей в широко распространенные решения с использованием искусственного интеллекта.

#ParsedReport #CompletenessLow
03-09-2025

Obscura, an Obscure New Ransomware Variant

https://www.huntress.com/blog/obscura-ransomware-variant

Report completeness: Low

Threats:
Obscura
Windows_locker
Shadow_copies_delete_technique
Octopus
Crux_ransomware
Cephalus

ChatGPT TTPs:
do not use without manual check
T1027, T1106, T1486

IOCs:
File: 1
Path: 1
Command: 3
Hash: 1

Soft:
Windows firewall, Windows security, mysql, mariadb, Winlogon, docker

Algorithms:
base64, xchacha20, curve25519, sha256, chacha20

Functions:
main_run, main_windows_api_IsRunAsAdmin, Windows, main_windows_api_KillProcesses, main_windows_api_GetPCRole, encryptFileRange, main_windows_api_generateEphemeralKeyPair, main_hasExcludedExtension

Win API:
AllocateAndInitializeSid, CheckTokenMembership, GetSystemInfo, DsRoleGetPrimaryDomainInformation

Win Services:
WinDefend, MsMpEng, SentinelAgent, VeeamTransportSvc, VeeamBackupSvc, AcrSch2Svc, AcronisAgent, Cvd, SQLSERVERAGENT, SQLWriter, have more...

Links:
have more...
https://github.com
https://gist.github.com/gleeda/1781b0db8cbc78b4ef39dbe2aed77f38/raw/e3526be6bb47c1ecbf459a63e40a787f1e8c0e70/README\_Obscura.txt
https://gist.github.com/gleeda/1781b0db8cbc78b4ef39dbe2aed77f38#file-readme\_obscura-txt

#ParsedReport #GeneratedSchema
Generated with GPT-4