#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2, code: 10, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка NoisyBear нацелилась на нефтегазовый сектор Казахстана с апреля 2025 года, используя тактику Целевого фишинга с использованием поддельных документов для распространения вредоносной полезной нагрузки. В их атаках используется многоэтапный процесс заражения, начинающийся с ZIP-файла, содержащего документ-приманку и файл-ярлык, который запускает скрипт PowerShell для отключения защиты и загрузки дополнительного вредоносного ПО. Операция связана с санкционированным провайдером веб-хостинга и демонстрирует сложные методы, включая использование PowerShell и таких инструментов, как Metasploit.
-----

Хакерская группировка, известная как NoisyBear, появилась на сцене с апреля 2025 года, нацелившись на нефтегазовый сектор Казахстана, в частности на сотрудников "КазМунайГаза" (КМГ). Деятельность группы характеризуется Целевым фишингом, в ходе которого используются поддельные документы, напоминающие официальные сообщения компании, для привлечения целей. В мае 2025 года скомпрометированное электронное письмо от сотрудника финансового департамента КМГ было использовано для распространения ZIP-файла, содержащего как поддельный документ, так и вредоносный файл быстрого доступа (.LNK) под названием "График заработной платы.lnk". Такой подход свидетельствует о передовой тактике социальной инженерии, направленной на проникновение в организацию.

Техническая основа атаки включает в себя многоэтапную цепочку заражения. Изначально ZIP-файл содержит не только документ-приманку, на котором изображен официальный логотип КМГ и инструкции, представленные как на русском, так и на казахском языках, но и README.txt файл, который выглядит безвредным и усиливает легитимность полезной нагрузки. После этого вредоносный файл LNK активирует пакетный скрипт, который загружает дополнительные вредоносные компоненты с помощью PowerShell, специально нацеленный на выполнение набора сценариев PowerShell, называемых DOWNSHELL. Эти скрипты имеют двойное назначение: один предназначен для отключения защиты на компьютере жертвы, в то время как другой служит загрузчиком дополнительного вредоносного контента.

Заключительный этап заражения включает в себя внедрение библиотеки DLL, которая, как было подтверждено с помощью инструментов PE-анализа, представляет собой 64-разрядный двоичный файл. Было установлено, что инфраструктура, поддерживающая эту операцию, принадлежит подпавшему под санкции провайдеру веб-хостинга Aeza Group LLC, что вызывает вопросы о надзоре за такими организациями при проведении вредоносных операций.

Объяснение деятельности NoisyBear основано на углубленном анализе их тактики, методов и процедур (TTP), а также выявлении операционных моделей и ошибок, которые могут привести к дальнейшему пониманию группы. Полагаясь на PowerShell и используя инструменты эксплуатации с открытым исходным кодом, такие как Metasploit, этот злоумышленник продемонстрировал сложный подход к компрометации и закреплению в своей целевой среде. В целом, деятельность NoisyBear свидетельствует о постоянной угрозе энергетическому сектору Казахстана, поэтому организациям крайне важно сохранять бдительность в отношении таких целенаправленных атак.

#ParsedReport #CompletenessMedium
04-09-2025

Salesloft Drift Breach: Everything You Need to Know

https://socradar.io/salesloft-drift-breach-everything-you-need-to-know/

Report completeness: Medium

Actors/Campaigns:
Unc6395 (motivation: financially_motivated)
Shinyhunters
Unc6040
Lapsus
Duke
Cl0p

Threats:
Supply_chain_technique
Tanium_tool
Credential_harvesting_technique

Victims:
Cloud computing, Cybersecurity, Saas providers, Enterprise technology

Industry:
Government, E-commerce

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1070.004, T1078, T1526, T1550.001

IOCs:
IP: 20

Soft:
Salesloft Drift, Salesforce, Slack, Gmail, Telegram, MOVEit

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года сервис чат-ботов Drift был взломан злоумышленником UNC6395, который использовал токены OAuth для получения несанкционированного доступа к клиентским средам, в частности к Salesforce. Эта атака, нацеленная на слабое управление сторонними интеграциями, позволила злоумышленникам получить конфиденциальные данные, не используя уязвимости программного обеспечения. Взлом оказал воздействие на более чем 700 организаций в различных секторах и высветил тенденцию к атакам на supply-chain, использующим надежные сервисы для более широкого доступа.
-----

В августе 2025 года сервис чат-ботов Drift от Salesloft был взломан, что привело к одному из крупнейших зарегистрированных нарушений в системе supply-chain "программное обеспечение как услуга" (SaaS). Атака исходила от злоумышленника, идентифицированного как UNC6395, который использовал токены OAuth, выпущенные приложением Drift. Эти токены позволили Drift взаимодействовать с системами клиентов, в первую очередь Salesforce, предоставляя злоумышленникам несанкционированный доступ к конфиденциальным средам без необходимости использовать уязвимости в самой Salesforce.

Нарушение было связано со слабым управлением сторонними интеграциями и обработкой учетных данных в чат-боте Drift. Перехватив эти токены OAuth, злоумышленники фактически унаследовали доверенный доступ к службе Drift, что позволило им запрашивать Salesforce и другие подключенные системы. Этот метод атаки не включал традиционные методы эксплуатации, а скорее был основан на использовании скомпрометированных учетных данных.

Данные, полученные в результате этого нарушения, в основном включали конфиденциальную информацию из клиентских сред Salesforce, но другие сервисы, подключенные к Drift, такие как Google Workspace, Slack и различные облачные хранилища, также были потенциально затронуты. По оценкам следствия, в результате этого инцидента пострадали более 700 организаций из различных секторов, включая облачные вычисления и корпоративные технологии.

Злоумышленники, мотивированные финансовой выгодой, сосредоточились на сборе учетных записей для последующей перепродажи. Они продемонстрировали оперативные меры безопасности, придерживаясь ограничений API и удаляя свои запросы после выполнения, чтобы избежать обнаружения.

В то время как Telegram-канал под названием "Рассеянные охотники за LAPSUS$ 4.0" ошибочно взял на себя ответственность за взлом, никаких существенных доказательств причастности этой группы к атаке не было. Следователи отметили, что эти заявления перекликаются с общедоступной информацией, и указали на несоответствие с ранее отмеченными группами, связанными с аналогичными типами нарушений.

Инцидент свидетельствует о тревожной тенденции в атаках на supply-chain, когда злоумышленники используют надежные сторонние сервисы для компрометации нескольких организаций одновременно. Стратегии смягчения последствий рекомендуют немедленную замену потенциально скомпрометированных учетных данных, детальный просмотр журналов Salesforce на предмет любых нарушений и отключение интеграции Drift до тех пор, пока не будет обеспечена ее безопасность. Кроме того, организациям следует усилить мониторинг активности сторонних API, ввести более строгий контроль доступа, провести оценку рисков поставщиков и обучить сотрудников распознавать попытки фишинга, которым часто способствуют подобные атаки. Также рекомендуется привлекать фирмы по кибербезопасности для реагирования на инциденты, чтобы облегчить восстановление и анализ после инцидента.

#ParsedReport #CompletenessLow
04-09-2025

s1ngularity's Aftermath: AI, TTPs, and Impact in the Nx Supply Chain Attack

https://www.wiz.io/blog/s1ngularitys-aftermath

Report completeness: Low

Actors/Campaigns:
S1ngularity

Threats:
Supply_chain_technique

Victims:
Software supply chain, Open source ecosystems

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1078, T1190, T1195, T1199, T1204, T1552, T1567

IOCs:
File: 5

Soft:
macOS, sudo, Linux, OpenAI

Wallets:
electrum, metamask, trezor, exodus_wallet, solflare

Crypto:
ethereum

Languages:
python, java

Platforms:
intel

Links:
https://docs.github.com/en/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/reviewing-the-audit-log-for-your-organization

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инцидент s1ngularity характеризуется использованием скомпрометированного токена публикации npm, связанного с уязвимостями в действиях GitHub, что привело к распространению вредоносных пакетов Nx и значительной утечке корпоративных секретов. Эта атака подчеркивает тревожную тенденцию использования действий GitHub, в отличие от предыдущих инцидентов, которые представляли ограниченную угрозу. Постоянное присутствие более 40% утекших токенов npm и раскрытие секретов из частных хранилищ указывают на постоянный риск для затронутых организаций.
-----

Атака Nx supply chain, называемая инцидентом s1ngularity, связана с использованием скомпрометированного токена публикации npm из-за уязвимостей в действиях GitHub. Злоумышленники использовали этот доступ для распространения вредоносных версий различных пакетов Nx, что привело к значительной утечке корпоративных секретов на GitHub, что может способствовать последующим атакам.

Этот инцидент является частью тревожной тенденции, связанной с компрометацией с помощью действий на GitHub, перекликающейся с предыдущими случаями, такими как Ultralytics и tj-actions. В то время как предыдущие инциденты представляли ограниченную угрозу — либо из—за незначительной полезной нагрузки, либо из-за быстрого обнаружения, - атака s1ngularity привела к гораздо более широкому раскрытию конфиденциальной информации.

Роль искусственного интеллекта в атаке s1ngularity была в центре внимания, в ходе обсуждений были подчеркнуты преимущества вредоносного ПО на базе искусственного интеллекта, которые включают повышенную гибкость и возможность обходить традиционные меры обнаружения. Однако эта изощренность сопряжена с повышенной сложностью, которая может привести к сбоям в работе. Несмотря на такие возможности, модели искусственного интеллекта, такие как Claude и Q, имели значительную частоту отказов от выполнения задач, демонстрируя возможные ограничения ИИ во вредоносных приложениях.

Чтобы исследовать потенциальные воздействия этой атаки, организациям рекомендуется тщательно изучить свои журналы аудита GitHub на предмет наличия конкретных записей, связанных с компрометацией s1ngularity. Эта упреждающая мера может выявить несанкционированные действия, связанные с эксплуатируемыми действиями GitHub.

Важно отметить, что последствия этой атаки выходят далеко за рамки первоначального взлома, поскольку значительная часть утекших токенов npm остается активной, что представляет постоянный риск для организаций-жертв. Поскольку более 40% этих токенов все еще действительны, сохраняется потенциал для дополнительных атак. Кроме того, раскрытие секретов, ранее хранившихся в закрытых хранилищах, продолжает расширять зону атаки, сигнализируя о том, что последствия этого инцидента, скорее всего, сохранятся со временем.

#ParsedReport #CompletenessMedium
04-09-2025

Dark Web Profile: GLOBAL Ransomware

https://socradar.io/dark-web-profile-global-ransomware/

Report completeness: Medium

Actors/Campaigns:
Dragonforce

Threats:
Global-group-raas
Mamona
Eldorado_ransomware
Windows_locker
Shadow_copies_delete_technique

Industry:
Petroleum, Entertainment, Foodtech, Energy, Critical_infrastructure, Healthcare, E-commerce, Telco

Geo:
Belgium, Brazil, Ireland, United kingdom, Russian, Australia, Italy, Mexico, Lebanon, Sweden

TTPs:
Tactics: 10
Technics: 30

Soft:
Linux, ESXi, macOS, Windows Service

Algorithms:
chacha20-poly1305

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GLOBAL Ransomware - это новая программа-вымогатель как услуга (RaaS), появившаяся в середине 2025 года и связанная с более ранними семействами, такими как Mamona и BlackLock. Он предлагает аффилированным лицам от 80 до 85 процентов выплат выкупа, имеет панель управления, совместимую с мобильными устройствами, автономный сборщик полезной нагрузки вредоносного ПО для различных систем и использует чат-бота с искусственным интеллектом для переговоров о выкупе. Методология атаки опирается на филиалы для получения первоначального доступа и использует различные методы доставки полезной нагрузки для нарушения работы целевых сетей.
-----

GLOBAL Ransomware, также известная как GLOBAL GROUP, появилась как новая программа-вымогатель как услуга (RaaS) в середине 2025 года. Однако судебно-медицинский анализ указывает на связь с более ранними семействами программ-вымогателей, такими как Mamona и BlackLock. Операция была запущена на российской анонимной торговой площадке (RAMP), известной подпольной платформе для киберпреступной деятельности.

Эта модель RaaS утверждает, что обеспечивает конкурентное преимущество, предлагая аффилированным лицам значительную долю выплат выкупа, составляющую от 80 до 85 процентов. Он оснащен удобной панелью управления, совместимой с мобильными устройствами, автономным конструктором для создания полезных нагрузок вредоносного ПО, совместимых с различными системами, включая Windows, Linux и VMware ESXi, и использует чат-бота для переговоров, управляемого искусственным интеллектом, для облегчения обмена информацией о выкупе. Эта инфраструктура позиционирует GLOBAL как благоприятную платформу для филиалов, которые сосредоточены на предоставлении скомпрометированных точек входа в целевые сети.

Методология атаки, используемая GLOBAL Ransomware, многогранна и в значительной степени зависит от первоначального доступа, предоставляемого аффилированными лицами. Универсальность операции по доставке полезной нагрузки в сочетании с агрессивными методами, направленными на разрушение целевых сетей, повышает ее эффективность. Разнообразная природа этого RaaS, обусловленная множеством партнерских методов, приводит к разнообразной тактике вторжения, которая делает необходимой целенаправленную защиту.

Снижение рисков, связанных с глобальными программами-вымогателями, требует комплексной стратегии защиты, включающей меры по предотвращению, обнаружению и восстановлению. Организации должны применять многоуровневый подход к обеспечению безопасности, чтобы эффективно противодействовать разнообразным методам вторжения, используемым аффилированными злоумышленниками. Это требует усиленного мониторинга для раннего обнаружения вторжений, надежных протоколов резервного копирования для обеспечения восстановления, а также постоянных обновлений и обучения для повышения устойчивости к этому меняющемуся ландшафту угроз.

#ParsedReport #CompletenessMedium
04-09-2025

Not Safe for Work: Tracking and Investigating Stealerium and Phantom Infostealers

https://www.proofpoint.com/us/blog/threat-insight/not-safe-work-tracking-and-investigating-stealerium-and-phantom-infostealers

Report completeness: Medium

Actors/Campaigns:
Ta2715 (motivation: cyber_criminal)
Ta2536

Threats:
Phantom_stealer
Stealerium_stealer
Lumma_stealer
Amatera_stealer
Snake_keylogger

Victims:
Banks, Charitable foundations, Courts, Document services

Industry:
Financial, Entertainment, Education

Geo:
Canadian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016.001, T1027, T1053.005, T1059.001, T1059.005, T1059.007, T1074.001, T1112, T1204.002, T1497, have more...

IOCs:
Command: 1
Url: 1
Path: 1
Hash: 6

Soft:
Steam, Zulip, Windows Defender, chrome, Outlook, Discord, Telegram

Algorithms:
md5, aes

Languages:
javascript, powershell

Links:
have more...
https://github.com/witchfindertr/Stealerium
https://github.com/Stealerium/Stealerium

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние данные Proofpoint указывают на рост зависимости киберпреступников от похитителей информации, в частности Stealerium и его разновидностей, таких как Phantom Stealer. Изначально Stealerium's был с открытым исходным кодом, но доступность привела к его модификации злоумышленниками, что позволило избежать обычного обнаружения. Вредоносное ПО использует различные методы доставки, проводит разведку сети, поддерживает закрепление с помощью запланированных задач и предлагает настраиваемые параметры эксфильтрации, создавая значительные риски для конфиденциальных данных.
-----

Недавние наблюдения исследователей Proofpoint указывают на растущую тенденцию среди киберпреступников, которые все чаще используют средства для кражи информации, в частности Stealerium и его разновидности, такие как Phantom Stealer. Stealerium возник как вредоносное ПО с открытым исходным кодом, доступное на таких платформах, как GitHub, где оно служит для обучения как специалистов по кибербезопасности, так и акторов-злоумышленников. Доступность этого вредоносного ПО привела к его адаптации и модификации злоумышленниками, что привело к различным итерациям, которые могут обойти типичные меры обнаружения.

Киберпреступники отдают предпочтение похитителям информации из-за их способности собирать конфиденциальные данные, при этом отмечается переход от вредоносного ПО как услуги, таких как Lumma и Amatera Stealer, к открыто доступному вредоносному ПО, такому как Stealerium. Тактика, используемая в кампаниях Stealerium, включает в себя различные способы доставки, при этом вредоносные электронные письма используют различные типы вложений, такие как сжатые исполняемые файлы, JavaScript и ISO-файлы. Эти электронные письма обычно выдают себя за законные организации, такие как благотворительные организации и банки, используя строки темы, которые указывают на срочность, тем самым повышая вероятность вовлечения пользователей.

После запуска Stealerium проводит разведку сетевого окружения жертвы, используя такие команды, как "netsh wlan", для сбора информации о сохраненных профилях Wi-Fi и близлежащих сетях. Вредоносное ПО также использует скрипты PowerShell для создания исключений в Защитнике Windows и использует запланированные задачи для поддержания закрепления, избегая обнаружения. Его меры защиты от анализа гарантируют, что в любой момент времени в системе запускается только один экземпляр вредоносного ПО.

Что касается функциональности, Stealerium легко настраивается, а его настройки хранятся в структурированном формате, что повышает его адаптивность. Вредоносное ПО создает в системе определенный каталог для хранения отфильтрованных данных, причем соглашения об именовании часто основаны на профиле пользователя жертвы, что помогает упорядочить украденную информацию. Кроме того, Stealerium предлагает различные методы эксфильтрации данных, что увеличивает угрозу, которую он представляет как для отдельных лиц, так и для организаций.

#ParsedReport #CompletenessMedium
03-09-2025

ViewState Deserialization Zero-Day Vulnerability in Sitecore Products (CVE-2025-53690)

https://cloud.google.com/blog/topics/threat-intelligence/viewstate-deserialization-zero-day-vulnerability/

Report completeness: Medium

Threats:
Viewstate_deserialization_vuln
Weepsteel
Earthworm_tool
Dwagent_tool
Bloodhound_tool
Ghostcontainer
Netstat_tool
Rssock_tool
Credential_dumping_technique
Nltest_tool

Victims:
Sitecore deployments, Web application administrators

CVEs:
CVE-2025-53690 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.002, T1005, T1016, T1021.001, T1027, T1036.005, T1046, T1071.001, T1078, T1083, have more...

IOCs:
File: 18
Path: 16
Hash: 7
IP: 5
Registry: 2
Url: 1

Soft:
Sitecore, ASP.NET, Active Directory

Algorithms:
base64, zip, sha256, aes

Win API:
GetProcessInformation

Platforms:
x64

YARA: Found

Links:
https://github.com/Ridter/cve-2020-0688/blob/master/ExchangeCmdPy.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость, идентифицированная как CVE-2025-53690 в продуктах Sitecore, позволяет удаленно выполнять код из-за неправильной настройки ASP.NET машинные ключи, приводящие к эксплуатации злоумышленниками. Они нацелились на страницу /sitecore/blocked.aspx, что позволило им выполнить атаку ViewState deserialization, которая использовала полезную нагрузку вредоносного ПО, известную как WEEPSTEEL для разведки. Злоумышленник установил закрепление с помощью средства удаленного доступа DWAGENT, выполнил разведку Active Directory и использовал слабо сохраненные учетные данные для облегчения дальнейшего перемещения внутри компании в сети.
-----

Серьезная уязвимость ViewState deserialization, идентифицированная как CVE-2025-53690, была обнаружена в продуктах Sitecore, что привело к активному использованию ее злоумышленниками. Уязвимость возникает из-за использования широко открытых ASP.NET машинные ключи в документации по развертыванию Sitecore, датируемой 2017 годом, что позволяло злоумышленникам выполнять удаленный код. Mandiant Threat Defense сообщила, что первоначальное нарушение было выполнено путем использования этой уязвимости в экземпляре Sitecore, выходящем в Интернет, что позволило удаленно выполнить код и привело к проникновению полезной нагрузки, известной как WEEPSTEEL.

Атака началась с того, что злоумышленник исследовал веб-сервер жертвы с помощью различных HTTP-запросов, в конечном счете сосредоточившись на странице /sitecore/blocked.aspx. Использование скрытой формы ViewState на этой конкретной странице в сочетании с ее доступностью без аутентификации сделало ее мишенью для эксплуатации. Атаки ViewState deserialization используют автоматическую deserialization of ViewState сообщений сервера, которая может происходить, когда меры проверки неэффективны или обходятся. Когда машинные ключи скомпрометированы, приложение становится неспособным различать законные и вредоносные данные ViewState, создавая серьезную угрозу безопасности.

После эксплуатации актор извлек полезную нагрузку ViewState и показал встроенную сборку .NET, Information.dll, классифицируемая как WEEPSTEEL — инструмент разведки, аналогичный распознанным бэкдорам и вредоносному ПО для сбора информации. Злоумышленник использовал первоначальный доступ, полученный с помощью привилегий СЕТЕВОЙ службы, которые встроены в рабочие процессы IIS, для продолжения своей деятельности. Это включало архивирование важных конфигурационных файлов, таких как web.config, из корневого каталога Sitecore Content Delivery web, в котором хранится конфиденциальная информация о серверной части приложения.

Затем злоумышленник установил закрепление в среде, установив DWAGENT, инструмент удаленного доступа с открытым исходным кодом, и использовал EARTHWORM, инструмент туннелирования, для облегчения связи в обход мер безопасности. Незаконно присвоенные учетные записи локальных администраторов были созданы под вымышленными именами, что позволило злоумышленнику удалить конфиденциальные базы данных реестра и обезопасить кэшированные учетные данные администратора для перемещения внутри компании. Эта тактика распространилась на использование Протокола удаленного рабочего стола (RDP) для дальнейших взломов дополнительных хостов.

Разведка Active Directory была еще одним важным этапом атаки. Запустив DWAGENT, актор собрал информацию о контроллерах домена и запросил привилегированные учетные данные, которые слабо хранятся в объектах групповой политики. Развертывание SHARPHOUND, компонента, связанного с BLOODHOUND для анализа безопасности Active Directory, еще больше облегчило работу по разведке, которая позволила получить представление о привилегированных группах пользователей.

#ParsedReport #CompletenessLow
04-09-2025

Cato CTRL Threat Research: Threat Actors Abuse Simplified AI to Steal Microsoft 365 Credentials

https://www.catonetworks.com/blog/cato-ctrl-threat-actors-abuse-simplified-ai-to-steal-microsoft-365-credentials/

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Us based organizations, Investment sector

Industry:
Healthcare

ChatGPT TTPs:
do not use without manual check
T1027.013, T1036, T1071.001, T1566.001, T1566.002, T1656

IOCs:
Url: 1
IP: 1