#ParsedReport #CompletenessLow
03-10-2025

Palo Alto Scanning Surges \~500% in 48 Hours, Marking 90-Day High

https://www.greynoise.io/blog/palo-alto-scanning-surges

Report completeness: Low

Victims:
Technology vendors, Network security appliances

Geo:
Mexico, France, Canada, Pakistan, Netherlands, Australia, Russia

ChatGPT TTPs:
do not use without manual check
T1046, T1590, T1595, T1595.003, T1596

IOCs:
IP: 5

Soft:
Slack, PAN-OS

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
3 октября наблюдалось заметное увеличение активности сканирования устройств Palo Alto Networks: было обнаружено около 1300 уникальных IP-адресов, в основном из США, за которыми следуют Великобритания, Нидерланды, Канада и Россия. Сканирование было специально нацелено на Palo Alto GlobalProtect и PAN-OS, что указывает на преднамеренные попытки использования уязвимостей, и, вероятно, проводилось с использованием общедоступных инструментов разведки. Этот всплеск активности совпадает с аналогичными тенденциями, наблюдаемыми в устройствах Cisco ASA, что свидетельствует о скоординированных усилиях злоумышленников, потенциально связанных с ранее раскрытыми уязвимостями zero-day.
-----

3 октября наблюдался значительный всплеск активности сканирования устройств Palo Alto Networks: около 1300 уникальных IP-адресов вызвали оповещения от GreyNoise, что означает увеличение почти на 500% в течение 48 часов и самый высокий показатель за последние три месяца. Подавляющее большинство этих IP-адресов, примерно 93%, были классифицированы как подозрительные, в то время как остальные 7% были признаны вредоносными. Большая часть активности исходила из Соединенных Штатов, но были также заметные группы в Великобритании, Нидерландах, Канаде и России.

Целевыми профилями были, в первую очередь, Palo Alto GlobalProtect и PAN-OS, что указывает на то, что сканирование было преднамеренным, вероятно, оно было получено с помощью общедоступных инструментов разведки или непосредственно от злоумышленников, сканирующих уязвимости в устройствах Palo Alto. Появились отдельные кластеры сканирования, один из которых в основном направлял свой трафик в Соединенные Штаты, а другой - в Пакистан. Эти кластеры можно было бы дифференцировать на основе отпечатков пальцев TLS, предполагающих различное происхождение, но некоторые перекрывающиеся характеристики.

Интересно, что это увеличение активности сканирования, по-видимому, коррелирует с аналогичными действиями, направленными на устройства Cisco ASA, которые также испытали всплеск трафика сканирования примерно в тот же период времени. Анализ показал сходство региональной кластеризации и снятия отпечатков пальцев в инструментах, используемых для сканирования как порталов входа в систему Palo Alto, так и Cisco ASA, причем заметный отпечаток TLS связан с инфраструктурой, базирующейся в Нидерландах. Этот шаблон последовал за более ранними отчетами GreyNoise о сканировании Cisco ASA, связанными с раскрытием двух уязвимостей zero-day.

Последствия для защитников кибербезопасности значительны, учитывая, что этот всплеск 3 октября представляет собой самый большой приток IP-адресов, проверяющих порталы входа в систему в Пало-Альто за последние три месяца. Концентрированный и структурированный характер трафика, направленного в первую очередь на порталы входа в систему, подчеркивает необходимость усиленного мониторинга и защитных мер для защиты от потенциального использования этих сервисов.

#ParsedReport #CompletenessMedium
03-10-2025

Self-Propagating Malware Spreading Via WhatsApp, Targets Brazilian Users

https://www.trendmicro.com/en_us/research/25/j/self-propagating-malware-spreads-via-whatsapp.html

Report completeness: Medium

Actors/Campaigns:
Sorvepotel

Victims:
Whatsapp users

Industry:
Government, Healthcare, Education

Geo:
Brazilian, Brazil, Portuguese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1104, T1105, T1204.002, T1204.003, T1547, T1564.003, T1566, T1568

IOCs:
File: 5
Domain: 14
Hash: 8
Url: 1

Soft:
WhatsApp

Algorithms:
zip

Win Services:
WebClient

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Самораспространяющаяся кампания вредоносного ПО под названием SORVEPOTEL нацелена на бразильских пользователей в первую очередь через WhatsApp с помощью фишинг-сообщений, которые приводят к вложениям в ZIP-файлы. После извлечения ZIP-файла ярлык Windows запускает скрипт PowerShell для извлечения основной полезной нагрузки вредоносного ПО, а также перехватывает активные веб-сеансы WhatsApp для распространения среди контактов жертв. Этот подход сочетает социальную инженерию с автоматизированной эксплуатацией сеанса, повышая способность вредоносного ПО быстро распространяться при минимальном взаимодействии с пользователем.
-----

Недавнее исследование выявило самораспространяющуюся кампанию вредоносного ПО, нацеленную на бразильских пользователей, в основном распространяемую через WhatsApp с помощью вложений в ZIP-файлы. Процесс заражения начинается, когда пользователь получает сообщение о фишинге, созданное таким образом, чтобы оно выглядело так, как будто оно исходит от доверенного контакта, такого как друг или коллега, чья учетная запись была скомпрометирована. Такая тактика облегчает первоначальный компромисс, поскольку пользователи с большей вероятностью будут взаимодействовать с сообщениями от известных лиц.

Полезная нагрузка содержится в ZIP-файле; при извлечении он открывает файл быстрого доступа Windows (.LNK). Выполнение этого файла LNK активирует скрытый скрипт командной строки или PowerShell. Этот скрипт отвечает за извлечение основной полезной нагрузки вредоносного ПО из доменов, контролируемых злоумышленниками, тем самым продлевая цикл заражения.

Примечательным аспектом этого вредоносного ПО является его способность определять, активен ли в данный момент веб-сеанс WhatsApp на зараженном устройстве. Эта функция позволяет вредоносному ПО перехватывать текущие сеансы, эффективно распространяясь на контакты жертвы, не требуя дополнительного взаимодействия с пользователем. Использование автоматизированной эксплуатации сеанса в сочетании с традиционными методами фишинга значительно расширяет охват вредоносного ПО.

Кампания SORVEPOTEL иллюстрирует эволюционирующий ландшафт киберугроз, когда злоумышленники используют популярные коммуникационные платформы для быстрого распространения вредоносного ПО. Используя социальную инженерию и автоматизацию, эта кампания представляет значительный риск, демонстрируя, насколько быстрого и масштабного распространения вредоносного ПО можно добиться при минимальном участии пользователей.

#ParsedReport #CompletenessLow
02-10-2025

Coordinated Grafana Exploitation Attempts on 28 September

https://www.greynoise.io/blog/coordinated-grafana-exploitation-attempts

Report completeness: Low

Victims:
Grafana users

Geo:
Taiwan, China, Bangladesh, Germany, Slovakia

CVEs:
CVE-2021-43798 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-6023 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1583.003

IOCs:
IP: 2

Soft:
Slack

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
28 сентября 2023 года произошел всплеск попыток эксплуатации Grafana, в основном со 107 IP-адресов в Бангладеш, нацеленных на конечные точки в США. Эти атаки использовали более старые уязвимости, в частности CVE-2021-43798, для несанкционированного доступа и продемонстрировали одинаковое соотношение целей среди США, Словакии и Тайваня. Исторический анализ показал использование множества инструментов и уникальных отпечатков TCP, выявляя методический подход злоумышленников, который указывает на организованные усилия киберпреступников, использующих слабые места в системе безопасности в установках Grafana.
-----

28 сентября 2023 года была отмечена значительная волна попыток эксплуатации, нацеленных на Grafana, при этом 110 уникальных IP-адресов были задействованы в этой деятельности, преимущественно направленной на Соединенные Штаты, Словакию и Тайвань. Большая часть активности исходила из Бангладеш, где были отслежены 107 из 110 IP-адресов, в основном с конечными точками в США. Инцидент выявил хорошо скоординированную схему атаки, поскольку эти IP-адреса демонстрировали согласованное поведение в отношении целей в разных странах наблюдения, соблюдая четкое соотношение примерно 3:1:1, что соответствует США, Словакии и Тайваню, соответственно.

С точки зрения географического распределения, еще 2 IP-адреса из Китая и 1 из Германии также демонстрировали схожие модели таргетинга, хотя и в меньшем масштабе. Примечательно, что китайские IP-адреса были включены в число наиболее значимых, наблюдаемых в связи с этим событием, с идентифицируемыми отпечатками TCP, относящимися к тем же трем странам, что указывает на целый ряд инструментов, используемых для достижения этих целей. Кроме того, анализ исторических данных, проведенный GreyNoise, выявил по меньшей мере два уникальных отпечатка HTTP, свидетельствующих об использовании нескольких инструментов, нацеленных на общую целевую базу.

Попытки эксплуатации, в частности, использовали старые уязвимости, в частности CVE-2021-43798, уязвимость с высокой степенью воздействия, которая, как известно, допускает несанкционированный доступ. Такая схема использования старых уязвимостей указывает на стратегический выбор злоумышленников, отражающий потенциальный пробел в средствах защиты среди целевых установок Grafana.

Хотя GreyNoise не приписывает эту активность конкретному злоумышленнику, наблюдаемая конвергенция в моделях таргетинга и инструментарии позволяет предположить, что либо один оператор использует разнообразную инфраструктуру, либо несколько операторов используют общий набор эксплойтов против одного и того же набора целей. Скоординированный характер этих атак указывает на организованные усилия киберпреступников, а не на изолированные инциденты, подчеркивая сохраняющиеся риски, связанные с развертыванием уязвимого программного обеспечения в критических средах.

#ParsedReport #CompletenessMedium
02-10-2025

Larva-25010 APT Down PC

https://asec.ahnlab.com/ko/90408/

Report completeness: Medium

Actors/Campaigns:
Larva-25010
Kimsuky
Winnti
Unc3886
Unc5221
Apt31

Threats:
Cobalt_strike_tool
Syslogk_rootkit
Tinyshell

Industry:
Military, Telco, Government

Geo:
Chinese, North korean, Taiwan, Korean, Japan, North korea, Korea

CVEs:
CVE-2025-0282 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


IOCs:
Hash: 5
Domain: 1
IP: 1

Soft:
JBoss, Ivanti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сложной целенаправленной угрозе Down, связанной с кибероперациями Северной Кореи, используются продвинутые варианты вредоносного ПО, использующие сложные методы уклонения для обхода мер безопасности. Группа использует специфические уязвимости программного обеспечения для несанкционированного доступа и эксфильтрации данных, применяя особую тактику, охватывающую первоначальный доступ, повышение привилегий, а также перемещение внутри компании в сетях. Постоянный мониторинг этих вредоносных ПО и связанных с ними уязвимостей имеет решающее значение для выявления потенциальных компрометаций.
-----

Отчет об устранении сложной целенаправленной угрозы, специально обозначенный как Larva-25010, содержит углубленный анализ кибердеятельности группы. Подавление сложной целенаправленной угрозы связано с кибероперациями Северной Кореи и было связано с различными вредоносными кампаниями, нацеленными на конкретные организации. Анализ выделяет тактику, методы и процедуры группы (TTP), которые отражают детальное понимание их операционного поведения и инструментов, которые они используют.

Одним из важнейших выводов отчета является идентификация уникальных вариантов вредоносного ПО, связанных с сложной целенаправленной угрозой отключения. Эти вредоносные ПО используют продвинутую тактику уклонения для обхода мер безопасности, что указывает на сложный уровень разработки и развертывания. В отчете подчеркивается важность мониторинга этих вредоносных инструментов на наличие признаков заражения или компрометации в целевых системах.

Обсуждаются уязвимости, эксплуатируемые с помощью сложных целенаправленных угроз Down, раскрывающие схему нацеливания на слабые места программного обеспечения, которые допускают несанкционированный доступ или эксфильтрацию данных. В отчете подробно описываются конкретные уязвимости, которые были использованы в прошлых кампаниях, и дается представление об общих точках входа, используемых группой.

Кроме того, в отчете анализируются процедурные характеристики атак с использованием технологии "Сбой сложных целенаправленных угроз", включая их методы первоначального доступа, повышения привилегий, а также перемещения внутри компании в скомпрометированных сетях. Эта информация служит организациям основой для разработки более эффективных средств защиты от подобных угроз, подчеркивая необходимость упреждающего мониторинга и управления уязвимостями.

#ParsedReport #CompletenessHigh
02-10-2025

Confucius Espionage: From Stealer to Backdoor

https://www.fortinet.com/blog/threat-research/confucius-espionage-from-stealer-to-backdoor

Report completeness: High

Actors/Campaigns:
Apt59 (motivation: cyber_espionage)

Threats:
Wooperstealer
Anondoor
Spear-phishing_technique
Dll_sideloading_technique
Passworddumper_tool

Victims:
Pakistan users

Industry:
Government, Military

Geo:
Asia, Pakistan

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.003, T1059.006, T1105, T1202, T1204.002, T1566.001, T1574.002, have more...

IOCs:
File: 17
Domain: 9
Url: 9
Path: 4
Hash: 8

Soft:
Firefox, curl

Algorithms:
base64, zip

Functions:
GetByteArrayAsync

Win API:
GetLogicalDrives, GetDiskFreeSpaceExW

Languages:
python, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 23, windows: 1, chart: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка Confucius развила свою тактику от кражи документов вредоносным ПО до изощренных бэкдорных решений, используя кампании фишинга с использованием обманчивых вложений PowerPoint, нацеленных на пользователей в Пакистане. К марту 2025 года группа интегрировала вредоносные файлы LNK, которые выполняли измененные законные файлы Windows, что позволило внедрить многоуровневое вредоносное ПО, включающее загруженные вредоносные библиотеки DLL и формы-приманки. Такая адаптивность отражает повышение сложности и переход к более изощренным методам кибершпионажа, использующим различные семейства вредоносных ПО и способы доставки.
-----

Хакерская группировка Confucius продемонстрировала заметную эволюцию в своей тактике, перейдя от вредоносного ПО для кражи документов к внедрению сложных бэкдорных решений. Со временем эта связанная с государством группировка усовершенствовала свои методы, чтобы повысить оперативную эффективность и избежать обнаружения.

В ходе кампании по фишингу, которая началась в декабре 2024 года, группа Confucius рассылала пользователям в Пакистане электронные письма с вложениями, замаскированными под файл PowerPoint (Document.ppsx). Использованные элементы социальной инженерии включали подмену полномочий и тонкий призыв к действию, направленный на то, чтобы заставить получателей открыть файл, тем самым инициируя цепочку заражения.

К марту 2025 года тактика группы Confucius получила дальнейшее развитие, включив вредоносные файлы LNK в свои механизмы доставки. Примером, выявленным в ходе расследования, была Вредоносная ссылка (Invoice_Jan25.pdf.lnk), ведущая к запуску законного файла Windows (BlueAle.exe ), который был изменен из исходного системного файла (C:\Windows\System32\fixmapi.exe ). Этот метод включал загрузку вредоносной библиотеки DLL и поддельной PDF-формы с удаленного сервера, демонстрируя многоуровневый подход к развертыванию вредоносного ПО.

В августе 2025 года группа представила еще один вредоносный файл LNK (NLC.pdf.lnk), в котором использовалась аналогичная стратегия выполнения, но содержалась новая полезная нагрузка. Анализ команды, расшифрованной в этом файле, показал увеличение сложности.

На протяжении всех этих разработок группа Confucius демонстрировала техническую гибкость, постоянно адаптируясь путем включения различных типов файлов и методов первоначального доступа. Их операции включали в себя сочетание OLE-объектов, вредоносных скриптов, загрузчиков PowerShell, загрузчиков MSIL и сильно запутанных полезных нагрузок. Такая адаптивность означает изменение не только в используемом семействе вредоносных ПО, таких как WooperStealer, AnonDoor (на основе MSIL) и недавно разработанный вариант Python, но и в их общем подходе к кибершпионажу, отражающем все более сложный ландшафт киберугроз.

#ParsedReport #CompletenessHigh
03-10-2025

YUREI RANSOMWARE : THE DIGITAL GHOST

https://www.cyfirma.com/research/yurei-ransomware-the-digital-ghost/

Report completeness: High

Threats:
Yurei
Prince_ransomware
Shadow_copies_delete_technique
Psexec_tool
Satanlock
Vssadmin_tool
Timestomp_technique
Credential_dumping_technique

Victims:
Food manufacturing, Sri lanka

Industry:
Foodtech

Geo:
Japanese, Germany, Japan, Sri lanka, Morocco, Turkey

TTPs:
Tactics: 8
Technics: 39

IOCs:
File: 7
Command: 1
Path: 1
Hash: 2
Url: 2

Soft:
PsExec, Windows Service, Outlook

Algorithms:
aes, chacha20, sha256

Functions:
setWallpaper, getAllDrives, disableBackups, Get-ChildItem, Remove-Item, InitPrinceKeys

Win API:
WriteFile

Languages:
php, powershell

Platforms:
x86

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
code: 15, schema: 1, dump: 2, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Yurei Ransomware - это сложное вредоносное ПО, нацеленное на среды Windows, использующее программирование Go для быстрого шифрования файлов с помощью отдельных ключей ChaCha20, добавляя при этом ".Расширение "Yurei". В нем используются методы удаления Shadow Copies томов и системных журналов, препятствующие усилиям по восстановлению и судебно-медицинским расследованиям. Программа-вымогатель распространяется через общие ресурсы USB и SMB, использует перемещение внутри компании на основе учетных данных и включает механизм самоуничтожения для устранения следов после выполнения, что указывает на продвинутый уровень угрозы.
-----

Yurei Ransomware представляет собой сложную и агрессивную угрозу в среде вредоносного программного обеспечения, использующую передовые тактики и методы для эффективного компрометирования систем. Разработанный с использованием языка программирования Go, Yurei ориентирован на среду Windows и обладает возможностями быстрого шифрования. Он шифрует файлы на локальных и сетевых дисках, используя для каждого файла ключи ChaCha20, добавляя уникальный ".Расширение "Yurei" для затронутых файлов, а также использует механизм удаления Shadow Copies томов и системных резервных копий, тем самым отключая параметры восстановления.

Программа-вымогатель использует передовые средства защиты от криминалистики, включая удаление журналов событий Windows и системных журналов, чтобы препятствовать судебно-медицинским расследованиям. Он использует команды PowerShell для незаметного выполнения этих удалений, что свидетельствует о явном намерении помешать усилиям по восстановлению. Полезная нагрузка вредоносного ПО включает в себя компоненты для перемещения внутри компании по сетям на основе учетных данных, использующие такие методы, как PSCredential и PsExec для удаленного выполнения команд. Кроме того, он распространяется через USB-накопители и доступные для записи общие ресурсы SMB, создавая эффект быстрого распространения.

После выполнения Yurei не только шифрует файлы, но и изменяет обои рабочего стола жертвы, чтобы создать видимый сбой. Это создает записку с требованием выкупа, _README_Yurei.txt , внутри каждого зашифрованного каталога, предупреждая жертв о компрометации и предлагая инструкции по оплате, но также угрожая потенциальной утечкой данных в качестве принудительной меры, что отражает его двойные возможности вымогательства.

Дизайн Yurei Ransomware включает в себя сложную функцию самоуничтожения, которая удаляется после выполнения, чтобы устранить следы, которые могли бы позволить судебно-медицинское восстановление. Метод шифрования сочетает в себе ChaCha20 и ECIES для управления ключами, что затрудняет жертвам восстановление своих данных без вмешательства злоумышленника. Кроме того, имеются признаки повторного использования кода из проекта Prince ransomware, что указывает на связь между различными семействами программ-вымогателей и повторное использование методов и методологий оптимизации.

Таким образом, Yurei Ransomware - это продвинутая программа-вымогатель с двойным вымогательством, обладающая широкими возможностями шифрования данных, уклонения от обнаружения и препятствующая попыткам восстановления, что усиливает ее воздействие на потенциальных жертв. Он демонстрирует сочетание технической сложности и операционной эффективности, что создает значительные проблемы для реагирования на инциденты и восстановления в пострадавших организациях. Связь с ранее наблюдавшимися разработками программ-вымогателей подчеркивает постоянный и эволюционирующий ландшафт угроз.