#ParsedReport #CompletenessHigh
03-09-2025
P2Pinfect - New Variant Targets MIPS Devices
https://www.darktrace.com/blog/p2pinfect-new-variant-targets-mips-devices
Report completeness: High
Actors/Campaigns:
Chimera
Threats:
P2pinfect
Mirai
Supply_chain_technique
Nbminer
Process_injection_technique
Uac_bypass_technique
Fodhelper_technique
Spear-phishing_technique
Splashtop_tool
Victims:
Internet of things devices, Routers, Embedded devices, Retail and ecommerce industry, Email users of affected organizations
Industry:
E-commerce, Retail, Iot, Energy, Financial
Geo:
India, Saudi, Poland
CVEs:
CVE-2022-0543 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- redis (-)
TTPs:
Tactics: 1
Technics: 27
IOCs:
File: 10
Hash: 3
IP: 16
Url: 2
Registry: 2
Domain: 2
Soft:
Redis, OpenWRT, Linux, Windows Defender
Crypto:
monero
Algorithms:
base64, xor, kawpow, sha256
Languages:
lua, autoit, javascript, powershell, rust
Platforms:
cross-platform, mips
03-09-2025
P2Pinfect - New Variant Targets MIPS Devices
https://www.darktrace.com/blog/p2pinfect-new-variant-targets-mips-devices
Report completeness: High
Actors/Campaigns:
Chimera
Threats:
P2pinfect
Mirai
Supply_chain_technique
Nbminer
Process_injection_technique
Uac_bypass_technique
Fodhelper_technique
Spear-phishing_technique
Splashtop_tool
Victims:
Internet of things devices, Routers, Embedded devices, Retail and ecommerce industry, Email users of affected organizations
Industry:
E-commerce, Retail, Iot, Energy, Financial
Geo:
India, Saudi, Poland
CVEs:
CVE-2022-0543 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- redis (-)
TTPs:
Tactics: 1
Technics: 27
IOCs:
File: 10
Hash: 3
IP: 16
Url: 2
Registry: 2
Domain: 2
Soft:
Redis, OpenWRT, Linux, Windows Defender
Crypto:
monero
Algorithms:
base64, xor, kawpow, sha256
Languages:
lua, autoit, javascript, powershell, rust
Platforms:
cross-platform, mips
Darktrace
P2Pinfect - New Variant Targets MIPS Devices
Researchers from Cado Security Labs (now part of Darktrace) have discovered a new P2Pinfect variant compiled for the Microprocessor without Interlocked Pipelined Stages (MIPS) architecture.
CTT Report Hub
#ParsedReport #CompletenessHigh 03-09-2025 P2Pinfect - New Variant Targets MIPS Devices https://www.darktrace.com/blog/p2pinfect-new-variant-targets-mips-devices Report completeness: High Actors/Campaigns: Chimera Threats: P2pinfect Mirai Supply_chain_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новый MIPS-вариант P2Pinfect нацелен на маршрутизаторы и устройства Интернета вещей, распространяющиеся по SSH, и включает в себя передовые методы обхода, такие как завершение анализируемого процесса и отключение дампов ядра Linux. Вредоносное ПО включает в себя библиотеку DLL Windows, действующую как вредоносный модуль для Redis, позволяющий выполнять команды. Кроме того, криптоджекинг остается серьезной угрозой, поскольку инциденты, связанные с несанкционированным майнингом криптовалюты с помощью вредоносных скриптов, наряду с наблюдаемой кражей учетных данных и действиями по повышению привилегий, указывают на попытки сохранить постоянный доступ.
-----
Был обнаружен новый вариант P2Pinfect, специально предназначенный для устройств, работающих на архитектуре MIPS. Это указывает на повышенный интерес со стороны злоумышленников к компрометации маршрутизаторов, устройств Интернета вещей (IoT) и других встроенных систем. Исследователи идентифицировали вариант MIPS во время мониторинга файлов, которые были загружены на SSH-сервер, что ознаменовало первую успешную имплантацию P2Pinfect, использующего SSH для распространения.
Вариант MIPS работает как 32-разрядный, статически связанный двоичный файл ELF, лишенный отладочной информации. Статический анализ выявил наличие другого исполняемого файла ELF и 32-разрядной библиотеки Windows DLL в формате PE32, что еще больше усложняет его профиль угроз. Эта библиотека DLL функционирует как вредоносный загружаемый модуль для Redis, используя возможности system.exec для выполнения команд оболочки на скомпрометированных хостах.
Что касается методов уклонения, вариант MIPS демонстрирует расширенные возможности. Он проверяет конкретное значение процесса и, если обнаруживается, что он находится в стадии анализа, завершает как сам, так и свой родительский процесс. Кроме того, он пытается отключить дампы ядра Linux, анти-криминалистическую меру, направленную на предотвращение сбора конфиденциальных данных, таких как IP-адреса подключенных одноранговых узлов и конфигурация ботнет.
В сфере криптоджекинга этот метод остается распространенной киберугрозой. Он использует вычислительную мощность устройства для несанкционированного майнинга криптовалюты, часто без ведома жертвы. Тщательное расследование Darktrace выявило инцидент, связанный со скриптом PowerShell, который доставлял криптоминер NBMiner. Аналитики установили, что после выполнения майнер подключался к пулам криптомайнинга, причем первоначальные признаки появлялись в виде DNS-запросов, направленных на известные конечные точки майнинга, вскоре после выполнения вредоносного скрипта.
Кроме того, проведенное Darktrace расследование злоупотреблений Hyonix VPS выявило тревожную картину необычных действий при входе в систему и попыток перехвата сеансов в среде их клиентов. Примечательно, что 19 мая 2025 года были отмечены случаи одновременного входа в систему с редких внешних IP-адресов, что указывает на возможную кражу учетных данных. Одна учетная запись была связана с созданием правил для почтовых ящиков, которые автоматически удаляли электронные письма, связанные с документами, которыми якобы делились высокопоставленные сотрудники организации, что свидетельствует о попытке скрыть вредоносные действия.
Расследование также выявило действия, указывающие на повышение привилегий, поскольку злоумышленники пытались изменить настройки восстановления учетной записи и выполняли сброс пароля с подозрительных IP-адресов. Эти маневры были направлены на установление постоянного доступа к уязвимым учетным записям, что потенциально облегчало эксфильтрацию данных или рассылку спама, избегая при этом обнаружения. Продолжающаяся эволюция как варианта P2Pinfect, так и схем криптоджекинга иллюстрирует продолжающуюся изощренность киберугроз, нацеленных на уязвимую инфраструктуру.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новый MIPS-вариант P2Pinfect нацелен на маршрутизаторы и устройства Интернета вещей, распространяющиеся по SSH, и включает в себя передовые методы обхода, такие как завершение анализируемого процесса и отключение дампов ядра Linux. Вредоносное ПО включает в себя библиотеку DLL Windows, действующую как вредоносный модуль для Redis, позволяющий выполнять команды. Кроме того, криптоджекинг остается серьезной угрозой, поскольку инциденты, связанные с несанкционированным майнингом криптовалюты с помощью вредоносных скриптов, наряду с наблюдаемой кражей учетных данных и действиями по повышению привилегий, указывают на попытки сохранить постоянный доступ.
-----
Был обнаружен новый вариант P2Pinfect, специально предназначенный для устройств, работающих на архитектуре MIPS. Это указывает на повышенный интерес со стороны злоумышленников к компрометации маршрутизаторов, устройств Интернета вещей (IoT) и других встроенных систем. Исследователи идентифицировали вариант MIPS во время мониторинга файлов, которые были загружены на SSH-сервер, что ознаменовало первую успешную имплантацию P2Pinfect, использующего SSH для распространения.
Вариант MIPS работает как 32-разрядный, статически связанный двоичный файл ELF, лишенный отладочной информации. Статический анализ выявил наличие другого исполняемого файла ELF и 32-разрядной библиотеки Windows DLL в формате PE32, что еще больше усложняет его профиль угроз. Эта библиотека DLL функционирует как вредоносный загружаемый модуль для Redis, используя возможности system.exec для выполнения команд оболочки на скомпрометированных хостах.
Что касается методов уклонения, вариант MIPS демонстрирует расширенные возможности. Он проверяет конкретное значение процесса и, если обнаруживается, что он находится в стадии анализа, завершает как сам, так и свой родительский процесс. Кроме того, он пытается отключить дампы ядра Linux, анти-криминалистическую меру, направленную на предотвращение сбора конфиденциальных данных, таких как IP-адреса подключенных одноранговых узлов и конфигурация ботнет.
В сфере криптоджекинга этот метод остается распространенной киберугрозой. Он использует вычислительную мощность устройства для несанкционированного майнинга криптовалюты, часто без ведома жертвы. Тщательное расследование Darktrace выявило инцидент, связанный со скриптом PowerShell, который доставлял криптоминер NBMiner. Аналитики установили, что после выполнения майнер подключался к пулам криптомайнинга, причем первоначальные признаки появлялись в виде DNS-запросов, направленных на известные конечные точки майнинга, вскоре после выполнения вредоносного скрипта.
Кроме того, проведенное Darktrace расследование злоупотреблений Hyonix VPS выявило тревожную картину необычных действий при входе в систему и попыток перехвата сеансов в среде их клиентов. Примечательно, что 19 мая 2025 года были отмечены случаи одновременного входа в систему с редких внешних IP-адресов, что указывает на возможную кражу учетных данных. Одна учетная запись была связана с созданием правил для почтовых ящиков, которые автоматически удаляли электронные письма, связанные с документами, которыми якобы делились высокопоставленные сотрудники организации, что свидетельствует о попытке скрыть вредоносные действия.
Расследование также выявило действия, указывающие на повышение привилегий, поскольку злоумышленники пытались изменить настройки восстановления учетной записи и выполняли сброс пароля с подозрительных IP-адресов. Эти маневры были направлены на установление постоянного доступа к уязвимым учетным записям, что потенциально облегчало эксфильтрацию данных или рассылку спама, избегая при этом обнаружения. Продолжающаяся эволюция как варианта P2Pinfect, так и схем криптоджекинга иллюстрирует продолжающуюся изощренность киберугроз, нацеленных на уязвимую инфраструктуру.
#ParsedReport #CompletenessLow
02-09-2025
From Panel to Payload: Inside the TinyLoader Malware Operation
https://hunt.io/blog/tinyloader-malware-cryptocurrency-theft-infrastructure
Report completeness: Low
Threats:
Tiny_loader
Redline_stealer
Dcrat
Victims:
Cryptocurrency users, General users, Organizations
Geo:
Latvia, Netherlands, Great britain, London
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1021, T1036.007, T1091, T1105, T1112, T1115, T1119, T1204.002, T1547.009, T1547.015, have more...
IOCs:
IP: 4
File: 10
Soft:
Windows service
Wallets:
tron
Crypto:
bitcoin, ethereum, litecoin
Languages:
php
02-09-2025
From Panel to Payload: Inside the TinyLoader Malware Operation
https://hunt.io/blog/tinyloader-malware-cryptocurrency-theft-infrastructure
Report completeness: Low
Threats:
Tiny_loader
Redline_stealer
Dcrat
Victims:
Cryptocurrency users, General users, Organizations
Geo:
Latvia, Netherlands, Great britain, London
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1021, T1036.007, T1091, T1105, T1112, T1115, T1119, T1204.002, T1547.009, T1547.015, have more...
IOCs:
IP: 4
File: 10
Soft:
Windows service
Wallets:
tron
Crypto:
bitcoin, ethereum, litecoin
Languages:
php
hunt.io
TinyLoader Malware: Crypto Theft & C2 Infrastructure
Investigation into TinyLoader malware stealing cryptocurrency via Redline Stealer, USB spread, and C2 infrastructure.
CTT Report Hub
#ParsedReport #CompletenessLow 02-09-2025 From Panel to Payload: Inside the TinyLoader Malware Operation https://hunt.io/blog/tinyloader-malware-cryptocurrency-theft-infrastructure Report completeness: Low Threats: Tiny_loader Redline_stealer Dcrat Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TinyLoader - это сложный загрузчик вредоносного ПО, предназначенный для кражи криптовалют и распространения дополнительного вредоносного ПО, такого как Redline Stealer и DCRat. Он распространяется через USB-накопители, общие сетевые ресурсы и обманчивые ярлыки, обеспечивая закрепление путем изменения параметров реестра и ассоциаций файлов для обеспечения выполнения во время взаимодействия с пользователем. Вредоносное ПО перехватывает содержимое буфера обмена для целевых криптовалют и использует инфраструктуру командования и контроля, расположенную в основном в Латвии, что облегчает удаленное управление зараженными системами.
-----
TinyLoader - это сложный загрузчик вредоносного ПО, который облегчает операции киберпреступников, в первую очередь нацеленный на кражу криптовалют и распространение дополнительного вредоносного ПО, такого как Redline Stealer и DCRat. Вредоносное ПО распространяется по различным каналам, таким как USB-накопители, общие сетевые ресурсы и вводящие в заблуждение ярлыки, которые побуждают пользователей к запуску вредоносного ПО. После заражения TinyLoader устанавливает закрепление, создавая скрытые копии самого себя и изменяя настройки системного реестра, что позволяет ему сохраняться при перезагрузках.
Вредоносное ПО активно отслеживает буфер обмена, практически мгновенно заменяя скопированные адреса криптовалютных кошельков на адреса злоумышленника. Этот метод взлома нацелен на адреса криптовалют, включая Bitcoin, Ethereum, Litecoin и TRON. Инфраструктура TinyLoader's command and control (C2) в основном базируется в Латвии, а серверы работают в нескольких регионах, включая Великобританию и Нидерланды. Эта инфраструктура поддерживает его работу, предоставляя удаленный доступ через DCRat, что позволяет злоумышленникам контролировать зараженные системы.
TinyLoader использует многогранный подход для обеспечения его закрепления. Он изменяет ассоциации файлов в Windows, поэтому всякий раз, когда пользователь открывает текстовый файл, вредоносная ПО запускается первой. Кроме того, он распространяется на USB-устройствах под заманчивыми именами файлов и создает файлы автозапуска для запуска вредоносного ПО всякий раз, когда зараженный USB подключен к другой системе. Вводящие в заблуждение ярлыки, имитирующие законные функции Windows, также создаются для того, чтобы заманить пользователей к запуску встроенного вредоносного ПО.
После запуска TinyLoader извлекает дополнительные полезные файлы, сохраняет их во временном каталоге системы и немедленно выполняет, эффективно превращая скомпрометированную систему в платформу для различных вредоносных действий. Меры безопасности в отношении TinyLoader должны включать мониторинг HTML-подписи "Login - TinyLoader", ограничение использования USB-устройств, сканирование на наличие подозрительных действий с файлами и проверку адресов криптовалюты перед транзакциями. Использование аналитических данных из баз данных веб-сканера и мониторинг необычных изменений в реестре могут значительно усилить защиту от подобных операций.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TinyLoader - это сложный загрузчик вредоносного ПО, предназначенный для кражи криптовалют и распространения дополнительного вредоносного ПО, такого как Redline Stealer и DCRat. Он распространяется через USB-накопители, общие сетевые ресурсы и обманчивые ярлыки, обеспечивая закрепление путем изменения параметров реестра и ассоциаций файлов для обеспечения выполнения во время взаимодействия с пользователем. Вредоносное ПО перехватывает содержимое буфера обмена для целевых криптовалют и использует инфраструктуру командования и контроля, расположенную в основном в Латвии, что облегчает удаленное управление зараженными системами.
-----
TinyLoader - это сложный загрузчик вредоносного ПО, который облегчает операции киберпреступников, в первую очередь нацеленный на кражу криптовалют и распространение дополнительного вредоносного ПО, такого как Redline Stealer и DCRat. Вредоносное ПО распространяется по различным каналам, таким как USB-накопители, общие сетевые ресурсы и вводящие в заблуждение ярлыки, которые побуждают пользователей к запуску вредоносного ПО. После заражения TinyLoader устанавливает закрепление, создавая скрытые копии самого себя и изменяя настройки системного реестра, что позволяет ему сохраняться при перезагрузках.
Вредоносное ПО активно отслеживает буфер обмена, практически мгновенно заменяя скопированные адреса криптовалютных кошельков на адреса злоумышленника. Этот метод взлома нацелен на адреса криптовалют, включая Bitcoin, Ethereum, Litecoin и TRON. Инфраструктура TinyLoader's command and control (C2) в основном базируется в Латвии, а серверы работают в нескольких регионах, включая Великобританию и Нидерланды. Эта инфраструктура поддерживает его работу, предоставляя удаленный доступ через DCRat, что позволяет злоумышленникам контролировать зараженные системы.
TinyLoader использует многогранный подход для обеспечения его закрепления. Он изменяет ассоциации файлов в Windows, поэтому всякий раз, когда пользователь открывает текстовый файл, вредоносная ПО запускается первой. Кроме того, он распространяется на USB-устройствах под заманчивыми именами файлов и создает файлы автозапуска для запуска вредоносного ПО всякий раз, когда зараженный USB подключен к другой системе. Вводящие в заблуждение ярлыки, имитирующие законные функции Windows, также создаются для того, чтобы заманить пользователей к запуску встроенного вредоносного ПО.
После запуска TinyLoader извлекает дополнительные полезные файлы, сохраняет их во временном каталоге системы и немедленно выполняет, эффективно превращая скомпрометированную систему в платформу для различных вредоносных действий. Меры безопасности в отношении TinyLoader должны включать мониторинг HTML-подписи "Login - TinyLoader", ограничение использования USB-устройств, сканирование на наличие подозрительных действий с файлами и проверку адресов криптовалюты перед транзакциями. Использование аналитических данных из баз данных веб-сканера и мониторинг необычных изменений в реестре могут значительно усилить защиту от подобных операций.
#ParsedReport #CompletenessLow
03-09-2025
MintsLoader campaign activities resume
https://cert-agid.gov.it/news/riprende-la-campagna-mintsloader/
Report completeness: Low
Threats:
Mintsloader
Victims:
Windows users
ChatGPT TTPs:
T1204
IOCs:
Hash: 27
Domain: 6
Url: 7
Soft:
cURL
Algorithms:
zip
Languages:
javascript
03-09-2025
MintsLoader campaign activities resume
https://cert-agid.gov.it/news/riprende-la-campagna-mintsloader/
Report completeness: Low
Threats:
Mintsloader
Victims:
Windows users
ChatGPT TTPs:
do not use without manual checkT1204
IOCs:
Hash: 27
Domain: 6
Url: 7
Soft:
cURL
Algorithms:
zip
Languages:
javascript
CERT-AGID
Riprendono le attività delle campagne MintsLoader
Dopo una lunga pausa estiva, nella giornata di ieri è stata osservata una nuova campagna MintsLoader, la prima dopo quella registrata lo scorso giugno.
CTT Report Hub
#ParsedReport #CompletenessLow 03-09-2025 MintsLoader campaign activities resume https://cert-agid.gov.it/news/riprende-la-campagna-mintsloader/ Report completeness: Low Threats: Mintsloader Victims: Windows users ChatGPT TTPs: do not use without manual…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Обновленная кампания MintsLoader специально нацелена на Windows 10 и более поздние версии, используя команду cURL для запуска цепочки заражения. Эта сложная кампания направлена на компрометацию систем с целью установки вредоносного ПО infostealer, уделяя особое внимание извлечению конфиденциальной информации у жертв. Использование законных средств операционной системы указывает на высокий уровень сложности, демонстрируя эволюционирующий характер этой киберугрозы.
-----
Недавнее возобновление кампании MintsLoader знаменует собой значительное развитие деятельности по борьбе с киберугрозами после перерыва с июня. Эта кампания специально нацелена на компьютеры с Windows, особенно версии 10 и более поздних версий. Примечательным приемом, использованным в этой кампании, является использование команды cURL, которая облегчает запуск цепочки заражения.
Основной целью кампании MintsLoader является компрометация систем-жертв, что в конечном итоге приводит к установке вредоносного ПО. Тип вредоносного ПО, обычно связанного с этой кампанией, относится к категории infostealer, что указывает на то, что злоумышленники, скорее всего, сосредоточены на извлечении конфиденциальной информации из скомпрометированных систем. Этот метод предполагает высокий уровень изощренности, поскольку злоумышленники используют законные инструменты, доступные в операционной системе, для обхода мер безопасности и эффективного развертывания своей вредоносной полезной нагрузки.
Поскольку кампания возобновляет свою деятельность, она подчеркивает сохраняющиеся риски и проблемы, связанные с таким вредоносным ПО infostealer, которое продолжает развиваться и адаптироваться для использования современных технологических возможностей. Способность злоумышленников использовать встроенные функции широко используемых операционных систем подчеркивает важность надежных методов обеспечения безопасности и осведомленности для защиты от таких угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Обновленная кампания MintsLoader специально нацелена на Windows 10 и более поздние версии, используя команду cURL для запуска цепочки заражения. Эта сложная кампания направлена на компрометацию систем с целью установки вредоносного ПО infostealer, уделяя особое внимание извлечению конфиденциальной информации у жертв. Использование законных средств операционной системы указывает на высокий уровень сложности, демонстрируя эволюционирующий характер этой киберугрозы.
-----
Недавнее возобновление кампании MintsLoader знаменует собой значительное развитие деятельности по борьбе с киберугрозами после перерыва с июня. Эта кампания специально нацелена на компьютеры с Windows, особенно версии 10 и более поздних версий. Примечательным приемом, использованным в этой кампании, является использование команды cURL, которая облегчает запуск цепочки заражения.
Основной целью кампании MintsLoader является компрометация систем-жертв, что в конечном итоге приводит к установке вредоносного ПО. Тип вредоносного ПО, обычно связанного с этой кампанией, относится к категории infostealer, что указывает на то, что злоумышленники, скорее всего, сосредоточены на извлечении конфиденциальной информации из скомпрометированных систем. Этот метод предполагает высокий уровень изощренности, поскольку злоумышленники используют законные инструменты, доступные в операционной системе, для обхода мер безопасности и эффективного развертывания своей вредоносной полезной нагрузки.
Поскольку кампания возобновляет свою деятельность, она подчеркивает сохраняющиеся риски и проблемы, связанные с таким вредоносным ПО infostealer, которое продолжает развиваться и адаптироваться для использования современных технологических возможностей. Способность злоумышленников использовать встроенные функции широко используемых операционных систем подчеркивает важность надежных методов обеспечения безопасности и осведомленности для защиты от таких угроз.
#ParsedReport #CompletenessHigh
04-09-2025
Operation BarrelFire: NoisyBear targets entities linked to Kazakhstans Oil & Gas Sector.
https://www.seqrite.com/blog/operation-barrelfire-noisybear-kazakhstan-oil-gas-sector/
Report completeness: High
Actors/Campaigns:
Barrelfire
Noisybear
Threats:
Downshell
Lolbin_technique
Powersploit_tool
Meterpreter_tool
Dll_injection_technique
Metasploit_tool
Victims:
Kazmunaigas employees, Energy sector, Oil and gas sector
Industry:
Energy, Petroleum, Healthcare, Financial
Geo:
Kazakhstans, Russian, Asia, Asian, Kazakhstan
TTPs:
Tactics: 6
Technics: 13
IOCs:
File: 13
Path: 1
Url: 1
Hash: 11
IP: 2
Domain: 1
Soft:
gatekeeper, Outlook
Algorithms:
zip
Functions:
Add-Type, GetModuleHandle, getDelegateType, Create-RemoteThread
Win API:
GetProcAddress, OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, WaitForSingleObject, GetThreadContext, SetThreadContext, ResumeThread
Languages:
powershell
Links:
04-09-2025
Operation BarrelFire: NoisyBear targets entities linked to Kazakhstans Oil & Gas Sector.
https://www.seqrite.com/blog/operation-barrelfire-noisybear-kazakhstan-oil-gas-sector/
Report completeness: High
Actors/Campaigns:
Barrelfire
Noisybear
Threats:
Downshell
Lolbin_technique
Powersploit_tool
Meterpreter_tool
Dll_injection_technique
Metasploit_tool
Victims:
Kazmunaigas employees, Energy sector, Oil and gas sector
Industry:
Energy, Petroleum, Healthcare, Financial
Geo:
Kazakhstans, Russian, Asia, Asian, Kazakhstan
TTPs:
Tactics: 6
Technics: 13
IOCs:
File: 13
Path: 1
Url: 1
Hash: 11
IP: 2
Domain: 1
Soft:
gatekeeper, Outlook
Algorithms:
zip
Functions:
Add-Type, GetModuleHandle, getDelegateType, Create-RemoteThread
Win API:
GetProcAddress, OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, WaitForSingleObject, GetThreadContext, SetThreadContext, ResumeThread
Languages:
powershell
Links:
https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-ReflectivePEInjection.ps1https://gist.github.com/rattlemind/bd624e9e6010f6ac095c318a921e9c82Blogs on Information Technology, Network & Cybersecurity | Seqrite
Operation BarrelFire: NoisyBear targets entities linked to Kazakhstan’s Oil & Gas Sector.
<p>Recent Development: KMG Group of Companies Confirm Simulation, Not a Real Attack Thankfully, as KMG has publicly acknowledged, this was not an actual cyberattack but an internal simulation exercise. Contents Introduction Key Targets Industries Affected.…
CTT Report Hub
#ParsedReport #CompletenessHigh 04-09-2025 Operation BarrelFire: NoisyBear targets entities linked to Kazakhstans Oil & Gas Sector. https://www.seqrite.com/blog/operation-barrelfire-noisybear-kazakhstan-oil-gas-sector/ Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакерская группировка NoisyBear нацелилась на нефтегазовый сектор Казахстана с апреля 2025 года, используя тактику Целевого фишинга с использованием поддельных документов для распространения вредоносной полезной нагрузки. В их атаках используется многоэтапный процесс заражения, начинающийся с ZIP-файла, содержащего документ-приманку и файл-ярлык, который запускает скрипт PowerShell для отключения защиты и загрузки дополнительного вредоносного ПО. Операция связана с санкционированным провайдером веб-хостинга и демонстрирует сложные методы, включая использование PowerShell и таких инструментов, как Metasploit.
-----
Хакерская группировка, известная как NoisyBear, появилась на сцене с апреля 2025 года, нацелившись на нефтегазовый сектор Казахстана, в частности на сотрудников "КазМунайГаза" (КМГ). Деятельность группы характеризуется Целевым фишингом, в ходе которого используются поддельные документы, напоминающие официальные сообщения компании, для привлечения целей. В мае 2025 года скомпрометированное электронное письмо от сотрудника финансового департамента КМГ было использовано для распространения ZIP-файла, содержащего как поддельный документ, так и вредоносный файл быстрого доступа (.LNK) под названием "График заработной платы.lnk". Такой подход свидетельствует о передовой тактике социальной инженерии, направленной на проникновение в организацию.
Техническая основа атаки включает в себя многоэтапную цепочку заражения. Изначально ZIP-файл содержит не только документ-приманку, на котором изображен официальный логотип КМГ и инструкции, представленные как на русском, так и на казахском языках, но и README.txt файл, который выглядит безвредным и усиливает легитимность полезной нагрузки. После этого вредоносный файл LNK активирует пакетный скрипт, который загружает дополнительные вредоносные компоненты с помощью PowerShell, специально нацеленный на выполнение набора сценариев PowerShell, называемых DOWNSHELL. Эти скрипты имеют двойное назначение: один предназначен для отключения защиты на компьютере жертвы, в то время как другой служит загрузчиком дополнительного вредоносного контента.
Заключительный этап заражения включает в себя внедрение библиотеки DLL, которая, как было подтверждено с помощью инструментов PE-анализа, представляет собой 64-разрядный двоичный файл. Было установлено, что инфраструктура, поддерживающая эту операцию, принадлежит подпавшему под санкции провайдеру веб-хостинга Aeza Group LLC, что вызывает вопросы о надзоре за такими организациями при проведении вредоносных операций.
Объяснение деятельности NoisyBear основано на углубленном анализе их тактики, методов и процедур (TTP), а также выявлении операционных моделей и ошибок, которые могут привести к дальнейшему пониманию группы. Полагаясь на PowerShell и используя инструменты эксплуатации с открытым исходным кодом, такие как Metasploit, этот злоумышленник продемонстрировал сложный подход к компрометации и закреплению в своей целевой среде. В целом, деятельность NoisyBear свидетельствует о постоянной угрозе энергетическому сектору Казахстана, поэтому организациям крайне важно сохранять бдительность в отношении таких целенаправленных атак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакерская группировка NoisyBear нацелилась на нефтегазовый сектор Казахстана с апреля 2025 года, используя тактику Целевого фишинга с использованием поддельных документов для распространения вредоносной полезной нагрузки. В их атаках используется многоэтапный процесс заражения, начинающийся с ZIP-файла, содержащего документ-приманку и файл-ярлык, который запускает скрипт PowerShell для отключения защиты и загрузки дополнительного вредоносного ПО. Операция связана с санкционированным провайдером веб-хостинга и демонстрирует сложные методы, включая использование PowerShell и таких инструментов, как Metasploit.
-----
Хакерская группировка, известная как NoisyBear, появилась на сцене с апреля 2025 года, нацелившись на нефтегазовый сектор Казахстана, в частности на сотрудников "КазМунайГаза" (КМГ). Деятельность группы характеризуется Целевым фишингом, в ходе которого используются поддельные документы, напоминающие официальные сообщения компании, для привлечения целей. В мае 2025 года скомпрометированное электронное письмо от сотрудника финансового департамента КМГ было использовано для распространения ZIP-файла, содержащего как поддельный документ, так и вредоносный файл быстрого доступа (.LNK) под названием "График заработной платы.lnk". Такой подход свидетельствует о передовой тактике социальной инженерии, направленной на проникновение в организацию.
Техническая основа атаки включает в себя многоэтапную цепочку заражения. Изначально ZIP-файл содержит не только документ-приманку, на котором изображен официальный логотип КМГ и инструкции, представленные как на русском, так и на казахском языках, но и README.txt файл, который выглядит безвредным и усиливает легитимность полезной нагрузки. После этого вредоносный файл LNK активирует пакетный скрипт, который загружает дополнительные вредоносные компоненты с помощью PowerShell, специально нацеленный на выполнение набора сценариев PowerShell, называемых DOWNSHELL. Эти скрипты имеют двойное назначение: один предназначен для отключения защиты на компьютере жертвы, в то время как другой служит загрузчиком дополнительного вредоносного контента.
Заключительный этап заражения включает в себя внедрение библиотеки DLL, которая, как было подтверждено с помощью инструментов PE-анализа, представляет собой 64-разрядный двоичный файл. Было установлено, что инфраструктура, поддерживающая эту операцию, принадлежит подпавшему под санкции провайдеру веб-хостинга Aeza Group LLC, что вызывает вопросы о надзоре за такими организациями при проведении вредоносных операций.
Объяснение деятельности NoisyBear основано на углубленном анализе их тактики, методов и процедур (TTP), а также выявлении операционных моделей и ошибок, которые могут привести к дальнейшему пониманию группы. Полагаясь на PowerShell и используя инструменты эксплуатации с открытым исходным кодом, такие как Metasploit, этот злоумышленник продемонстрировал сложный подход к компрометации и закреплению в своей целевой среде. В целом, деятельность NoisyBear свидетельствует о постоянной угрозе энергетическому сектору Казахстана, поэтому организациям крайне важно сохранять бдительность в отношении таких целенаправленных атак.
#ParsedReport #CompletenessMedium
04-09-2025
Salesloft Drift Breach: Everything You Need to Know
https://socradar.io/salesloft-drift-breach-everything-you-need-to-know/
Report completeness: Medium
Actors/Campaigns:
Unc6395 (motivation: financially_motivated)
Shinyhunters
Unc6040
Lapsus
Duke
Cl0p
Threats:
Supply_chain_technique
Tanium_tool
Credential_harvesting_technique
Victims:
Cloud computing, Cybersecurity, Saas providers, Enterprise technology
Industry:
Government, E-commerce
Geo:
Russian
ChatGPT TTPs:
T1070.004, T1078, T1526, T1550.001
IOCs:
IP: 20
Soft:
Salesloft Drift, Salesforce, Slack, Gmail, Telegram, MOVEit
Languages:
python
04-09-2025
Salesloft Drift Breach: Everything You Need to Know
https://socradar.io/salesloft-drift-breach-everything-you-need-to-know/
Report completeness: Medium
Actors/Campaigns:
Unc6395 (motivation: financially_motivated)
Shinyhunters
Unc6040
Lapsus
Duke
Cl0p
Threats:
Supply_chain_technique
Tanium_tool
Credential_harvesting_technique
Victims:
Cloud computing, Cybersecurity, Saas providers, Enterprise technology
Industry:
Government, E-commerce
Geo:
Russian
ChatGPT TTPs:
do not use without manual checkT1070.004, T1078, T1526, T1550.001
IOCs:
IP: 20
Soft:
Salesloft Drift, Salesforce, Slack, Gmail, Telegram, MOVEit
Languages:
python
SOCRadar® Cyber Intelligence Inc.
Salesloft Drift Breach: Everything You Need to Know - SOCRadar® Cyber Intelligence Inc.
In August 2025, Salesloft Drift chatbot service became the conduit for one of the largest SaaS supply-chain breaches to date. Drift, acquired by...
CTT Report Hub
#ParsedReport #CompletenessMedium 04-09-2025 Salesloft Drift Breach: Everything You Need to Know https://socradar.io/salesloft-drift-breach-everything-you-need-to-know/ Report completeness: Medium Actors/Campaigns: Unc6395 (motivation: financially_motivated)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В августе 2025 года сервис чат-ботов Drift был взломан злоумышленником UNC6395, который использовал токены OAuth для получения несанкционированного доступа к клиентским средам, в частности к Salesforce. Эта атака, нацеленная на слабое управление сторонними интеграциями, позволила злоумышленникам получить конфиденциальные данные, не используя уязвимости программного обеспечения. Взлом оказал воздействие на более чем 700 организаций в различных секторах и высветил тенденцию к атакам на supply-chain, использующим надежные сервисы для более широкого доступа.
-----
В августе 2025 года сервис чат-ботов Drift от Salesloft был взломан, что привело к одному из крупнейших зарегистрированных нарушений в системе supply-chain "программное обеспечение как услуга" (SaaS). Атака исходила от злоумышленника, идентифицированного как UNC6395, который использовал токены OAuth, выпущенные приложением Drift. Эти токены позволили Drift взаимодействовать с системами клиентов, в первую очередь Salesforce, предоставляя злоумышленникам несанкционированный доступ к конфиденциальным средам без необходимости использовать уязвимости в самой Salesforce.
Нарушение было связано со слабым управлением сторонними интеграциями и обработкой учетных данных в чат-боте Drift. Перехватив эти токены OAuth, злоумышленники фактически унаследовали доверенный доступ к службе Drift, что позволило им запрашивать Salesforce и другие подключенные системы. Этот метод атаки не включал традиционные методы эксплуатации, а скорее был основан на использовании скомпрометированных учетных данных.
Данные, полученные в результате этого нарушения, в основном включали конфиденциальную информацию из клиентских сред Salesforce, но другие сервисы, подключенные к Drift, такие как Google Workspace, Slack и различные облачные хранилища, также были потенциально затронуты. По оценкам следствия, в результате этого инцидента пострадали более 700 организаций из различных секторов, включая облачные вычисления и корпоративные технологии.
Злоумышленники, мотивированные финансовой выгодой, сосредоточились на сборе учетных записей для последующей перепродажи. Они продемонстрировали оперативные меры безопасности, придерживаясь ограничений API и удаляя свои запросы после выполнения, чтобы избежать обнаружения.
В то время как Telegram-канал под названием "Рассеянные охотники за LAPSUS$ 4.0" ошибочно взял на себя ответственность за взлом, никаких существенных доказательств причастности этой группы к атаке не было. Следователи отметили, что эти заявления перекликаются с общедоступной информацией, и указали на несоответствие с ранее отмеченными группами, связанными с аналогичными типами нарушений.
Инцидент свидетельствует о тревожной тенденции в атаках на supply-chain, когда злоумышленники используют надежные сторонние сервисы для компрометации нескольких организаций одновременно. Стратегии смягчения последствий рекомендуют немедленную замену потенциально скомпрометированных учетных данных, детальный просмотр журналов Salesforce на предмет любых нарушений и отключение интеграции Drift до тех пор, пока не будет обеспечена ее безопасность. Кроме того, организациям следует усилить мониторинг активности сторонних API, ввести более строгий контроль доступа, провести оценку рисков поставщиков и обучить сотрудников распознавать попытки фишинга, которым часто способствуют подобные атаки. Также рекомендуется привлекать фирмы по кибербезопасности для реагирования на инциденты, чтобы облегчить восстановление и анализ после инцидента.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В августе 2025 года сервис чат-ботов Drift был взломан злоумышленником UNC6395, который использовал токены OAuth для получения несанкционированного доступа к клиентским средам, в частности к Salesforce. Эта атака, нацеленная на слабое управление сторонними интеграциями, позволила злоумышленникам получить конфиденциальные данные, не используя уязвимости программного обеспечения. Взлом оказал воздействие на более чем 700 организаций в различных секторах и высветил тенденцию к атакам на supply-chain, использующим надежные сервисы для более широкого доступа.
-----
В августе 2025 года сервис чат-ботов Drift от Salesloft был взломан, что привело к одному из крупнейших зарегистрированных нарушений в системе supply-chain "программное обеспечение как услуга" (SaaS). Атака исходила от злоумышленника, идентифицированного как UNC6395, который использовал токены OAuth, выпущенные приложением Drift. Эти токены позволили Drift взаимодействовать с системами клиентов, в первую очередь Salesforce, предоставляя злоумышленникам несанкционированный доступ к конфиденциальным средам без необходимости использовать уязвимости в самой Salesforce.
Нарушение было связано со слабым управлением сторонними интеграциями и обработкой учетных данных в чат-боте Drift. Перехватив эти токены OAuth, злоумышленники фактически унаследовали доверенный доступ к службе Drift, что позволило им запрашивать Salesforce и другие подключенные системы. Этот метод атаки не включал традиционные методы эксплуатации, а скорее был основан на использовании скомпрометированных учетных данных.
Данные, полученные в результате этого нарушения, в основном включали конфиденциальную информацию из клиентских сред Salesforce, но другие сервисы, подключенные к Drift, такие как Google Workspace, Slack и различные облачные хранилища, также были потенциально затронуты. По оценкам следствия, в результате этого инцидента пострадали более 700 организаций из различных секторов, включая облачные вычисления и корпоративные технологии.
Злоумышленники, мотивированные финансовой выгодой, сосредоточились на сборе учетных записей для последующей перепродажи. Они продемонстрировали оперативные меры безопасности, придерживаясь ограничений API и удаляя свои запросы после выполнения, чтобы избежать обнаружения.
В то время как Telegram-канал под названием "Рассеянные охотники за LAPSUS$ 4.0" ошибочно взял на себя ответственность за взлом, никаких существенных доказательств причастности этой группы к атаке не было. Следователи отметили, что эти заявления перекликаются с общедоступной информацией, и указали на несоответствие с ранее отмеченными группами, связанными с аналогичными типами нарушений.
Инцидент свидетельствует о тревожной тенденции в атаках на supply-chain, когда злоумышленники используют надежные сторонние сервисы для компрометации нескольких организаций одновременно. Стратегии смягчения последствий рекомендуют немедленную замену потенциально скомпрометированных учетных данных, детальный просмотр журналов Salesforce на предмет любых нарушений и отключение интеграции Drift до тех пор, пока не будет обеспечена ее безопасность. Кроме того, организациям следует усилить мониторинг активности сторонних API, ввести более строгий контроль доступа, провести оценку рисков поставщиков и обучить сотрудников распознавать попытки фишинга, которым часто способствуют подобные атаки. Также рекомендуется привлекать фирмы по кибербезопасности для реагирования на инциденты, чтобы облегчить восстановление и анализ после инцидента.
#ParsedReport #CompletenessLow
04-09-2025
s1ngularity's Aftermath: AI, TTPs, and Impact in the Nx Supply Chain Attack
https://www.wiz.io/blog/s1ngularitys-aftermath
Report completeness: Low
Actors/Campaigns:
S1ngularity
Threats:
Supply_chain_technique
Victims:
Software supply chain, Open source ecosystems
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1036, T1078, T1190, T1195, T1199, T1204, T1552, T1567
IOCs:
File: 5
Soft:
macOS, sudo, Linux, OpenAI
Wallets:
electrum, metamask, trezor, exodus_wallet, solflare
Crypto:
ethereum
Languages:
python, java
Platforms:
intel
Links:
04-09-2025
s1ngularity's Aftermath: AI, TTPs, and Impact in the Nx Supply Chain Attack
https://www.wiz.io/blog/s1ngularitys-aftermath
Report completeness: Low
Actors/Campaigns:
S1ngularity
Threats:
Supply_chain_technique
Victims:
Software supply chain, Open source ecosystems
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1078, T1190, T1195, T1199, T1204, T1552, T1567
IOCs:
File: 5
Soft:
macOS, sudo, Linux, OpenAI
Wallets:
electrum, metamask, trezor, exodus_wallet, solflare
Crypto:
ethereum
Languages:
python, java
Platforms:
intel
Links:
https://docs.github.com/en/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/reviewing-the-audit-log-for-your-organizationwiz.io
s1ngularity's aftermath: analysis of Nx supply chain attack | Wiz Blog
Investigating the role and performance of AI, total impact, and novel TTPs in the s1ngularity Nx supply chain attack