#ParsedReport #CompletenessLow
07-09-2025

From Compromised Keys to Phishing Campaigns: Inside a Cloud Email Service Takeover

https://www.wiz.io/blog/wiz-discovers-cloud-email-abuse-campaign

Report completeness: Low

Threats:
Supply_chain_technique
Spear-phishing_technique

Victims:
Cloud email service users, Aws customers

TTPs:

IOCs:
Domain: 5

Functions:
GetCallerIdentity, GetSendQuota, GetAccount, CreateCase, CreateEmailIdentity, SES

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье освещается использование скомпрометированных учетных данных AWS, в частности, через Amazon Simple Email Service (SES), для проведения крупномасштабных кампаний фишинга. Злоумышленники используют скомпрометированные ключи доступа для манипулирования функциональностью SES, создавая новые идентификаторы отправителей, которые маскируют вредоносные электронные письма под законные, тем самым повышая риск мошенничества и кражи данных. Ключевые показатели злоупотреблений включают необычные входы в систему и всплески использования сервисов, что подчеркивает уязвимости, присущие облачным средам.
-----

В статье обсуждается использование скомпрометированных облачных учетных данных, особое внимание уделяется Amazon Simple Email Service (SES) как методу проведения крупномасштабных кампаний фишинга. Злоумышленники получили доступ к среде AWS жертвы с помощью скомпрометированных ключей доступа и манипулировали SES, чтобы обойти встроенные ограничения, что позволило им создать новые идентификаторы отправителей. Эта процедура была неотъемлемой частью их операции по фишингу, демонстрируя изощренное использование платформы для смешивания вредоносной активности с законным трафиком электронной почты.

Использование AWS SES сопряжено со значительными рисками для организаций. Злоумышленники могут отправлять электронные письма, которые, как представляется, исходят с проверенных доменов компании, что повышает вероятность успешных попыток фишинга и потенциального мошенничества. Это не только ставит под угрозу репутацию организации, но и открывает возможности для кражи данных и других вредоносных действий. Более того, злоупотребление SES часто указывает на более широкий компромисс, когда противники могут использовать другие сервисы AWS, повышая операционный риск быть замеченными в злоупотреблениях самой AWS.

Ключевыми признаками потенциального злоупотребления SES являются активация ранее неактивных ключей доступа, необычные входы в систему из разных стран или под разными именами, а также аномальные всплески использования облачных сервисов. Такие инструменты мониторинга, как AWS CloudWatch metrics, биллинговые консоли и журналы CloudTrail, могут помочь в выявлении таких аномалий. Организациям настоятельно рекомендуется уделять особое внимание ключам с расширенными правами доступа или тем, которые долгое время не использовались.

Таким образом, скомпрометированные ключи доступа представляют собой значительную уязвимость в облачных средах, особенно при использовании с помощью таких сервисов, как Amazon SES. Для организаций крайне важно отслеживать признаки неправомерного использования и принимать упреждающие меры по защите своих облачных учетных данных, чтобы предотвратить аналогичные кампании фишинга. Изощренные методы, используемые злоумышленниками, требуют комплексного подхода к кибербезопасности, сосредоточенного на обнаружении, мониторинге и немедленном реагировании на любые признаки компрометации.

#ParsedReport #CompletenessLow
07-09-2025

LockBit 5.0 & Ransomware Cartel: What You Need To Know?

https://socradar.io/lockbit-5-0-ransomware-cartel-what-you-need-to-know/

Report completeness: Low

Actors/Campaigns:
Dragonforce

Threats:
Lockbit
Eldorado_ransomware
Stealbit
Qilin_ransomware
Supply_chain_technique
Blackcat

Victims:
Multiple industries, Critical infrastructure

Industry:
Critical_infrastructure

ChatGPT TTPs:
do not use without manual check
T1195, T1486, T1583, T1587, T1654

IOCs:
Coin: 2

Wallets:
zcash

Crypto:
monero, bitcoin

Win API:
pie

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LockBit 5.0 расширил возможности программ-вымогателей, сосредоточив внимание на модульности, скорости шифрования и обходе систем безопасности, а также внедрив модель "Программа-вымогатель как услуга" для привлечения партнеров. Появление "Картеля вымогателей", инициированного DragonForce, означает расширение сотрудничества между такими группами, как LockBit и Qilin, что потенциально ведет к более сложным операциям. Этот эволюционирующий ландшафт включает в себя такие тактики, как множественное вымогательство и атаки по supply chain, усложняющие защиту от киберугроз.
-----

LockBit продолжает оставаться важным игроком в экосистеме программ-вымогателей, развивающейся с появлением LockBit 5.0, которая повышает его модульность, скорость шифрования и возможности обхода мер безопасности. Эта новая итерация отражает адаптивную стратегию группы с момента ее создания в 2019 году как ABCD, за которым последовал ребрендинг на LockBit. В последней версии особое внимание уделяется обновленной модели "Программа-вымогатель как услуга" (RaaS) с новыми стимулами, направленными на привлечение к участию большего числа аффилированных лиц киберпреступников.

Инфраструктура, связанная с LockBit 5.0, предполагает продуманные усилия по поддержанию операционной легитимности. Платформа имеет знакомый пользовательский интерфейс, дополненный системой очередей для сообщений и отображением вариантов оплаты криптовалютами, включая Monero, Bitcoin и Zcash. Такие элементы подтверждают непрерывность деятельности группы и в то же время позволяют ей адаптироваться к более кооперативной модели в среде программ-вымогателей.

Появление "Картеля вымогателей" означает сдвиг в сторону сотрудничества между группами вымогателей. Инициированная DragonForce на хакерском форуме RAMP, эта инициатива направлена на снижение конкуренции и междоусобиц между такими бандами, как LockBit и Qilin. Развивая сотрудничество, эти группы стремятся оптимизировать операции на подпольном рынке и потенциально стабилизировать свою прибыльность. Такое сотрудничество могло бы повысить технические возможности операций с программами-вымогателями, что усложняло бы защитникам кибербезопасности эффективное реагирование.

Общий ландшафт для программ-вымогателей остается прибыльным, при этом развивается тактика, включающая множественное вымогательство, атаки по supply chain и нацеливание на критически важные инфраструктуры. Тенденция к формированию картелей может привести к созданию более организованной и устойчивой преступной среды, что окажет воздействие на стратегии правозащитников и их усилия по смягчению этих киберугроз. Способность групп вымогателей учиться друг у друга и внедрять стратегии, напоминающие законные методы ведения бизнеса, еще больше усложняет ситуацию с киберугрозами.

#ParsedReport #CompletenessLow
08-09-2025

Salt Typhoon and UNC4841: Silent Push Discovers New Domains; Urges Defenders to Check Telemetry and Log Data

https://www.silentpush.com/blog/salt-typhoon-2025/

Report completeness: Low

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage, propaganda)
Unc4841 (motivation: cyber_espionage, propaganda)

Threats:
Demodex_tool
Deed_rat
Ghostspider

Victims:
Telecom infrastructure, Internet service providers, Mobile carriers, Government wiretapping systems

Industry:
Government, Foodtech, Telco

Geo:
Chinese, American, China, Hong kong, Los angeles

ChatGPT TTPs:
do not use without manual check
T1583.001, T1583.003

IOCs:
Domain: 54
Email: 8

Soft:
ProtonMail

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salt Typhoon, китайская группировка, связанная с Министерством государственной безопасности, занимается кибершпионажем, нацеленным на телекоммуникационные компании и интернет-провайдеров, по меньшей мере с 2019 года, компрометируя конфиденциальные метаданные более миллиона пользователей мобильной связи в США. Недавнее исследование выявило связь между Salt Typhoon и UNC4841, которые используют дублирующую инфраструктуру и уязвимости в сетях Barracuda. Детальный анализ выявил 45 доменов, связанных с этими акторами, что свидетельствует о постоянной угрозе, проявляющейся в шаблонах регистрации доменов и цифровых записях.
-----

Salt Typhoon, китайская группировка, связанная с Министерством государственной безопасности Китайской Народной Республики, действует по меньшей мере с 2019 года. Эта группа занимается проведением кампаний кибершпионажа, нацеленных в первую очередь на телекоммуникационную инфраструктуру и интернет-провайдеров (ISP), особенно в Соединенных Штатах и более чем в 80 других странах. Их вредоносные операции позволили им получить доступ к конфиденциальным метаданным, включая метаданные более миллиона пользователей мобильных телефонов в США, что укрепило их возможности по сбору разведывательной информации.

Недавние результаты Silent Push выявили ряд ранее не сообщавшихся доменов, которые, по-видимому, облегчают постоянный скрытый доступ для Salt Typhoon. Исследование выявило связь между Salt Typhoon и другим злоумышленником, известным как UNC4841, который использовал уязвимости в сетях Barracuda для получения несанкционированного доступа. Оба злоумышленника используют дублирующую техническую инфраструктуру, что указывает на потенциальные связи сотрудничества или общие цели при нападении на конкретные государственные и корпоративные структуры.

Методология, используемая при идентификации доменов, включает тщательную проверку регистрационных данных WHOIS, которая выявила множество доменов, связанных с соответствующими Адресами эл. почты ProtonMail, часто связанных с вымышленными данными владельца регистрации, такими как несуществующие адреса и имена. Команда отследила три дополнительных адреса ProtonMail, каждый из которых соответствовал нескольким доменам, дополнительно установив модель поведения при регистрации, напоминающую те, которые типичны для акторов сложных целенаправленных атак.

Анализ цифровых записей, в частности записей о начале полномочий (SOA), показал значительное сходство регистраций между идентифицированными доменами. В результате исследовательская группа составила список из 45 доменов, подключенных либо к Salt Typhoon, либо к UNC4841, многие из которых функционируют примерно пять лет, что указывает на постоянную угрозу.

Более того, домены представляли значительный уровень риска, вынуждая организации принимать упреждающие защитные меры против этих типов продвинутых киберугроз. Silent Push призывает сетевых защитников просмотреть свою телеметрию и исторические данные журнала на предмет потенциальных подключений к идентифицированным доменам, поскольку это может повысить общую ситуационную осведомленность и понимание этих тактик скрытных атак и их последствий в контексте кибербезопасности.

#ParsedReport #CompletenessMedium
08-09-2025

Uncovering ALVIVA HOLDING: Links to Russian Shell Companies and Cybercrime

https://theravenfile.com/2025/09/08/uncovering-alviva-holding-links-to-russian-shell-companies-and-cybercrime/

Report completeness: Medium

Actors/Campaigns:
Alviva
Vermin
Magecart
Fancy_bear
Shadowsyndicate
Storm-1575

Threats:
Clop
Cobalt_strike_tool
Spectr
Spear-phishing_technique
Nokoyawa
Credential_harvesting_technique
Bianlian_ransomware
Koiloader
Brc4_tool
L3mon_tool
Sliver_c2_tool

Victims:
Hosting providers, Ransomware victims, Cybercrime victims

Industry:
Government, Financial, Petroleum

Geo:
England, Luhansk, Belize, Ukraine, Seychelles, Indian, Croatia, Russian federation, Germany, Vanuatu, Ireland, London, Russia, Panama, Kaliningrad, Ukrainian, Russian

IOCs:
Email: 2
Domain: 3
IP: 2
Url: 6

Soft:
Roundcube, Twitter

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 1, table: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Alviva Holding была замешана в киберпреступной деятельности, выступая в качестве хостинг-провайдера для программ-вымогателей Clop и используя тот же ASN, связанный с предыдущими преступными деяниями. Расследование выявляет связи с Денисом Начаевым, гражданином России, который ранее попадал в черный список, что свидетельствует о потенциальной нелегитимности. Alviva работает с несколькими IP-адресами, связанными с киберпреступностью, включая программы-вымогатели и DDoS-атаки, что подчеркивает постоянную угрозу, исходящую от таких организаций, как Alviva, в сфере киберпреступности.
-----

Расследование в отношении Alviva Holding выявило его связи с киберпреступностью, в частности, в качестве предпочтительного хостинг-провайдера для вредоносных действий, включая использование Ransomware. Clop. Холдинг "Альвива" был идентифицирован как постоянно действующая организация в криминальном мире, использующая тот же номер автономной системы (ASN), связанный с предыдущей преступной деятельностью. Анализ их инфраструктуры показал тревожную картину вовлеченности в киберпреступность, что позиционирует компанию как значимого актора в этой экосистеме.

Расследование в отношении Alviva Holding началось с ее зарегистрированного адреса, что выявило связи с Денисом Начаевым, гражданином России, который по документам является бенефициарным владельцем компании. Эта связь вызывает серьезные опасения, поскольку Начаев ранее был внесен регулирующими органами в черный список, что подчеркивает потенциальную незаконность деятельности Alviva. Более того, расследование показало, что Alviva работает бок о бок с различными фиктивными компаниями, зарегистрированными в Великобритании, которые обычно используются с целью сокрытия прав собственности и операционной деятельности.

Расследование также выявило, как эти подставные компании используют лазейки в законодательстве, чтобы скрыть свою истинную природу, часто используя виртуальные адреса, по которым не ведется реальный бизнес. Такая тактика распространена среди организаций, занимающихся незаконной деятельностью, поскольку позволяет им легче уклоняться от правоохранительных органов и проверки. Действительно, Великобритания была отмечена как благоприятная среда для создания подобных организаций, обеспечивающая высокий уровень анонимности.

В конечном счете, Alviva Holdings Limited управляет несколькими IP-адресами, которые были связаны с различными вертикалями киберпреступности, такими как программы-вымогатели, кража информации и распределенные атаки типа "отказ в обслуживании" (DDoS). Эти действия подчеркивают постоянную угрозу, исходящую от поставщиков услуг, таких как Alviva, которые обслуживают предприятия киберпреступников. Оценка репутации своих IP-адресов и понимание недавних вредоносных действий, связанных с этими адресами, могут иметь решающее значение для организаций, стремящихся защититься от потенциальных угроз. Специалистам по кибербезопасности важно сохранять бдительность и отслеживать поведение таких организаций, чтобы превентивно снижать риски для их среды.

#ParsedReport #CompletenessLow
08-09-2025

CVE-2025-53690: Sitecore Deployments Targeted via WEEPSTEEL Malware

https://socradar.io/cve-2025-53690-sitecore-deployments-weepsteel-malware/

Report completeness: Low

Threats:
Weepsteel
Viewstate_deserialization_vuln
Earthworm_tool
Dwagent_tool
Bloodhound_tool
Rssock_tool

Victims:
Sitecore deployments, Tp link router users

CVEs:
CVE-2025-53690 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1203

IOCs:
File: 12
Hash: 9
IP: 3

Soft:
Sitecore, ASP.NET, Active Directory

Algorithms:
base64, aes

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-53690 - критическая уязвимость, затрагивающая более старые развертывания Sitecore, связанная с ошибкой ViewState deserialization из-за повторного использования ASP.NET машинный ключ из документации, подготовленной до 2017 года. Этот эксплойт zero-day позволяет выполнять удаленное выполнение кода (RCE), при этом злоумышленники нацеливаются на не прошедшую проверку подлинности конечную точку /sitecore/blocked.aspx специально для инъекционных атак. Кроме того, уязвимость zero-day в маршрутизаторах TP-Link Archer затрагивает несколько моделей, указывая на сохраняющиеся проблемы с безопасностью для устаревших и потребительских сетевых устройств.
-----

CVE-2025-53690 стал серьезной угрозой для организаций, использующих более старые развертывания Sitecore, особенно из-за уязвимости, идентифицированной как проблема ViewState deserialization. Недостаток возникает из-за повторного использования образца ASP.NET машинный ключ, который был включен в официальную документацию по развертыванию Sitecore до 2017 года. Следовательно, многие производственные среды могут непреднамеренно содержать этот устаревший ключ, оставляя их открытыми для эксплуатации. Исследователи безопасности подчеркивают, что злоумышленники уже использовали эту уязвимость в "дикой природе" в качестве zero-day, обеспечивая удаленное выполнение кода (RCE) и последующее развертывание вредоносного ПО.

Оценка CVSS уязвимости составляет 9,0, что указывает на критический уровень серьезности. Уязвимые продукты включают Sitecore XP 9.0 и модуль Active Directory 1.4, а также более ранние версии, в которых использовался статический образец ключа. Важно отметить, что более поздние развертывания, которые автоматически генерируют уникальные машинные ключи, не подвержены этой уязвимости.

Было замечено, что злоумышленники исследуют экземпляры Sitecore, в частности, нацеливаясь на конечную точку /sitecore/blocked.aspx. Эта конечная точка имеет поле ViewState, которое не требует никакой аутентификации, что делает ее особенно уязвимой для инъекционных атак. Используя эту конечную точку, злоумышленники могут манипулировать ViewState для выполнения вредоносного кода, что приводит к потенциальной компрометации системы.

В дополнение к уязвимости Sitecore, другая серьезная проблема возникает из-за недавно выявленной уязвимости zero-day, затрагивающей маршрутизаторы TP-Link Archer. Этот недостаток, выявленный исследователем "Mehrun", оказывает воздействие на различные модели серий Archer AX10 и AX1500. Хотя конкретные подробности, касающиеся природы этой уязвимости, не были включены, ее существование подчеркивает текущие проблемы безопасности, с которыми сталкиваются широко распространенные потребительские сетевые устройства. Поскольку обе уязвимости демонстрируют, организации должны сохранять бдительность в отношении устаревших конфигураций и непатченных систем, чтобы предотвратить их использование злоумышленниками.

#ParsedReport #CompletenessHigh
08-09-2025

APT37 Targets Windows with Rust Backdoor and Python Loader

https://www.zscaler.com/blogs/security-research/apt37-targets-windows-rust-backdoor-and-python-loader

Report completeness: High

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Chillychino
Chinotto
W4sp
Spear-phishing_technique
Process_doppelganging_technique
Process_injection_technique

Victims:
South korean individuals linked to the north korean regime, Human rights activists, Individuals involved in south korean political or diplomatic affairs

Industry:
Government

Geo:
Korean, North korean, Korea, North korea

TTPs:

IOCs:
Hash: 8
Path: 11
File: 17
Registry: 1

Soft:
curl, Windows registry, Windows Task Scheduler

Algorithms:
md5, zip, base64, xor

Win API:
CreateFileTransactedW, NtCreateSection, RollbackTransaction, NtMapViewOfSection, GetThreadContext, SetThreadContext, ResumeThread

Languages:
python, powershell, javascript, rust, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT37, связанный с Северной Кореей злоумышленник, действующий с 2012 года, усовершенствовал свою кибертактику, внедрив новый бэкдор на основе Rust, известный как Rustonotto, что стало первым использованием скомпилированного Rust вредоносного ПО в системах Windows. Злоумышленник использует сервер управления для управления пакетом вредоносного ПО, который включает в себя FadeStealer, способный осуществлять обширное наблюдение и эксфильтрацию данных, инициируемую с помощью различных методов заражения, таких как вредоносные файлы быстрого доступа и архивы RAR. APT37 в первую очередь нацелен на лиц, связанных с политическими и дипломатическими делами Южной Кореи, используя сложные методы постоянного доступа и сбора данных.
-----

APT37, связанный с Северной Кореей злоумышленник, действует по меньшей мере с 2012 года, в основном нацеливаясь на лиц из Южной Кореи, связанных с северокорейским режимом или правозащитной деятельностью. Недавние кампании продемонстрировали заметную эволюцию в своей кибертактике, наиболее заметную благодаря внедрению нового бэкдора на базе Rust, получившего название Rustonotto. Это знаменует собой значительный сдвиг, поскольку это первый известный случай APT37, использующий скомпилированное Rust вредоносное ПО для взлома систем Windows. Злоумышленник управляет своим арсеналом вредоносного ПО с помощью единого сервера управления (C2), используя различные компоненты, включая FadeStealer, инструмент наблюдения, известный своей способностью регистрировать нажатия клавиш, делать скриншоты и аудио, а также извлекать данные.

Процесс заражения обычно начинается с развертывания ярлыка Windows или файла справки. Например, в одной кампании при выполнении вредоносного файла быстрого доступа запускается скрипт PowerShell с именем Chinotto, который извлекает приманку и полезную нагрузку, используя встроенные маркеры. Другая тактика предполагает распространение защищенного паролем RAR-файла, содержащего вредоносный файл справки Windows. Когда этот CHM-файл выполняется, он изменяет реестр, чтобы обеспечить загрузку и выполнение файла HTML-приложения (HTA) при входе пользователя в систему, обеспечивая постоянный доступ к системе.

Более того, цепочка заражения использует сложную методологию, включая использование файлов Microsoft Cabinet (.CAB) для доставки вредоносных полезных нагрузок, которые выполняются с помощью средств запуска на базе Python. FadeStealer взаимодействует с сервером C2, используя команды в кодировке Base64, направляя его на поиск определенных файлов и последующее создание RAR-архивов с отметками времени для эксфильтрации. В рамках своей функции наблюдения FadeStealer управляет несколькими потоками, работающими параллельно, для сбора конфиденциальных данных из скомпрометированных систем, тем самым расширяя свои возможности по сбору данных.

Инфраструктура C2 часто основана на скомпрометированных веб-серверах, замаскированных под законные сайты. PHP-скрипт, используемый для операций C2, является легким и облегчает эффективную связь с имплантатами вредоносного ПО, обеспечивая доставку команд и отчет о результатах через структурированный файл JSON.

Жертвы операций APT37's в основном были идентифицированы в Южной Корее, хотя их точные личности остаются нераскрытыми. Контекст атаки предполагает сосредоточение внимания на лицах, вовлеченных в политические или дипломатические дела Южной Кореи, что указывает на стратегический подход к нацеливанию, основанный на используемом содержании приманки.