#ParsedReport #CompletenessLow
04-10-2025

Malvertising Campaign Hides in Plain Sight on WordPress Websites

https://blog.sucuri.net/2025/10/malvertising-campaign-hides-in-plain-sight-on-wordpress-websites.html

Report completeness: Low

Victims:
Wordpress websites, Website visitors

ChatGPT TTPs:
do not use without manual check
T1059.007, T1071.001, T1105, T1190, T1583.001, T1584.004, T1608.004, T1659

IOCs:
File: 1
Domain: 2
Url: 2

Soft:
WordPress, cPanel

Functions:
ti_custom_javascript

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была обнаружена кампания Вредоносной рекламы, нацеленная на несколько веб-сайтов WordPress, где был загружен несанкционированный JavaScript, который действовал как удаленный загрузчик, извлекающий вредоносный контент с сервера управления по адресу hxxps://brazilc.com/ads.php . PHP-код выполнил запрос POST, введя ответы в раздел HTML head, что привело к вредоносному ПО drive-by, которое отображало поддельные запросы на проверку и потенциально скомпрометированные пользовательские данные. Этот инцидент подчеркивает риск того, что злоумышленники могут манипулировать темами WordPress для внедрения вредоносного кода, создавая угрозы как целостности веб-сайта, так и безопасности посетителей.
-----

Недавнее расследование выявило кампанию Вредоносной рекламы, затронувшую несколько веб-сайтов WordPress, на которые загружался несанкционированный JavaScript без согласия владельца сайта. Этот JavaScript, идентифицированный по меньшей мере на 17 веб-сайтах в ходе анализа, действовал как удаленный загрузчик, который извлекал вредоносный контент с сервера командования и контроля (C&C), специально размещенного по адресу hxxps://brazilc.com/ads.php . Механизм включал в себя PHP-код, инициирующий POST-соединение с сервером C&C и впоследствии вводящий ответ сервера в головной раздел HTML-документа.

Присутствие вредоносного ПО drive-by было значительным, поскольку посетители сталкивались с фальсифицированным контентом, таким как поддельные запросы на проверку CloudFlare, что могло привести к дальнейшему использованию или компрометации пользовательских данных. Эта ситуация иллюстрирует, как злоумышленники могут манипулировать, казалось бы, безобидными изменениями в темах WordPress для внедрения внешнего вредоносного кода, тем самым угрожая целостности посетителей веб-сайта.

Для предотвращения подобных атак администраторам веб-сайтов крайне важно постоянно обновлять все плагины, темы и базовое программное обеспечение. Необходимо регулярно вносить исправления для устранения известных уязвимостей. Для обнаружения любых признаков бэкдоров, SEO-спама или вредоносных программ необходимо последовательно выполнять сканирование как на стороне сервера, так и на стороне клиента. Использование надежных уникальных паролей для всех точек доступа, включая sFTP, базы данных и учетные записи администраторов, может значительно повысить безопасность.

Более того, мониторинг журналов на предмет любых необычных или подозрительных действий и использование системы мониторинга целостности файлов могут еще больше усилить защиту. Рекомендуется использовать брандмауэр веб-приложений (WAF) для предотвращения атак ботов, попыток брутфорса и выявления входящих угроз, что повысит общую степень защиты от этого типа Вредоносной рекламы. Этот инцидент иллюстрирует постоянный риск, связанный с незначительными изменениями кода, которые могут иметь серьезные последствия как для операторов веб-сайтов, так и для их посетителей.

#ParsedReport #CompletenessMedium
30-09-2025

0day .ICS attack in the wild

https://strikeready.com/blog/0day-ics-attack-in-the-wild/

Report completeness: Medium

Actors/Campaigns:
Unk_heatsink

Victims:
Email service users, Zimbra server users

Industry:
Ics, Military

Geo:
Russian, Libyan, Spanish, Portuguese, Brazil

CVEs:
CVE-2025-27915 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1071.001, T1114

IOCs:
IP: 1
Url: 1
Email: 1
Hash: 1

Soft:
Zimbra, Roundcube, Outlook

Algorithms:
base64

Functions:
createHiddenFieldsForUsernameAndPasswordCapturing, stealUsernameAndPasswordFromLoginForm, startActivityMonitoring, isMetadataLoaded, setMetadataLoaded, searchForEmailsInFolderAndSendToAttackerServer, addMaliciousFilters, stealScratchCodeTrustedDevicesGetAppSpecificPasswords, stealContactsAndDistributionLists, stealSharedFolders, have more...

Languages:
javascript

Links:
https://github.com/StrikeReady-Inc/research/tree/main/2025-09-29%20ics%200day

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая атака zero-day, нацеленная на промышленные системы управления (ICS), использует нераскрытые уязвимости, что указывает на возможности изощренного злоумышленника. Кроме того, функция взаимодействия с сервером Zimbra использует SOAP API для поиска и эксфильтрации электронных писем, демонстрируя методичный подход к краже данных. Этот инцидент подчеркивает риски, связанные с удаленным выполнением кода и несанкционированным доступом к данным посредством законных взаимодействий с сервером.
-----

Появилась атака zero-day, нацеленная на промышленные системы управления (ICS), что указывает на значительную угрозу в киберпространстве. Эта атака использует ранее неизвестные уязвимости, которые еще предстоит раскрыть или исправить поставщикам программного обеспечения, что делает затронутые системы особенно уязвимыми. Характер атаки предполагает наличие изощренного злоумышленника, способного использовать эти уязвимости в злонамеренных целях.

В связанной операции сообщалось о функции, предназначенной для взаимодействия с сервером Zimbra. Эта функция использует API Simple Object Access Protocol (SOAP) для выполнения поиска электронных писем в определенной папке на почтовом сервере Zimbra. Этот процесс включает в себя получение идентификаторов электронной почты, а также содержимого этих электронных писем. Впоследствии эта информация отправляется злоумышленнику, демонстрируя методичный подход к эксфильтрации данных.

Используемый метод указывает на хорошо спланированное использование тактики удаленного выполнения кода или извлечения данных, которая использует существующие серверные сервисы. Использование SOAP-запросов для несанкционированного доступа к информации является примером потенциального вектора, с помощью которого злоумышленники могут вести наблюдение или собирать конфиденциальные данные из скомпрометированных систем. Таким образом, эта атака подчеркивает необходимость для организаций внедрять надежные меры безопасности, поддерживать обновленные системы и внимательно следить за своей сетевой активностью, чтобы снизить риск, связанный как с уязвимостями zero-day, так и с целенаправленным сбором данных посредством законных взаимодействий с сервисами.

#ParsedReport #CompletenessHigh
02-10-2025

XWorm V6: Exploring Pivotal Plugins

https://www.trellix.com/blogs/research/xworm-v6-exploring-pivotal-plugins/

Report completeness: High

Actors/Campaigns:
Xcoder

Threats:
Xworm_rat
Darkcloud
Houdini_rat
Snake_keylogger
Shadowsniff_stealer
Phantom_stealer
Phemedrone
Remcos_rat
Pulsar_rat
Weevilproxy
Ilprotector_tool
Dll_injection_technique
Nocry
Celestialrat
R77rk_tool
Process_injection_technique
Process_hollowing_technique

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1036, T1041, T1055, T1055.012, T1056.001, T1057, T1059.001, T1059.003, have more...

IOCs:
Domain: 1
File: 29
IP: 1
Registry: 3
Path: 2
Url: 2
Hash: 22

Soft:
Telegram, Windows security, Chromium, Chrome, Torch, CocCoc, Xvast, Microsoft Edge Chromium, Blisk, Nichrome, have more...

Wallets:
metamask

Algorithms:
aes, base64, zip, aes-cbc, sha512, md5, sha256, gzip

Functions:
Run, CloseScreen, RunRecovery, GetDrives, CloseFM, ENC, Dec

Win API:
ARC, GetExtendedTcpTable, LoadLibrary, checkRemoteDebuggerPresent

Languages:
rust, javascript, powershell

Platforms:
x86

Links:
have more...
https://github.com/eastonkurth/xworm-rce
https://github.com/ElektroKill/ILPUnpack

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
XWorm версии 6.0, выпущенный в июне 2025 года, представляет собой универсальный набор инструментов для вредоносного ПО, развертываемый с помощью вредоносного JavaScript, который загружает скрипт PowerShell для отключения Windows AMSI для уклонения. Он использует многоэтапную атаку, чтобы внедрить своего клиента в законные процессы, и подключается к серверу C2, используя ключ шифрования для связи. Инструментарий поддерживает более 35 плагинов для таких задач, как кража учетных данных, атаки программ-вымогателей с использованием шифрования AES-CBC, и демонстрирует возможности динамического взаимодействия, что указывает на меняющийся ландшафт угроз.
-----

XWorm, первоначально идентифицированный в 2022 году как универсальный инструментарий для защиты от вредоносного ПО, эволюционировал с недавним выпуском XWorm версии 6.0 4 июня 2025 года. Эта версия якобы устраняла ранее известную уязвимость удаленного выполнения кода (RCE) и с тех пор завоевала популярность среди киберпреступников, благодаря многочисленным образцам, обнаруженным в дикой природе. Вредоносное ПО часто развертывается с помощью вредоносных файлов JavaScript, которые после выполнения загружают и запускают скрипт PowerShell. Этот сценарий PowerShell, который отключает интерфейс сканирования Windows Anti-Malware (AMSI) для уклонения от обнаружения, впоследствии подготавливает инструмент инжектора для доставки клиента XWorm.

Процесс атаки разворачивается в три этапа, начиная с файла JavaScript, который загружает скрипт PowerShell, который управляет внедрением клиентского кода XWorm в законный процесс, такой как RegSvcs.exe . После активации клиент XWorm устанавливает соединение со своим сервером управления (C2) по IP-адресу 94.159.113.64, используя для связи ключ шифрования "P0WER".

XWorm V6 включает в себя обширные возможности плагинов, позволяющие операторам выполнять различные вредоносные задачи в зараженных системах, от кражи учетных данных до внедрения программ-вымогателей. Вредоносное ПО обеспечивает закрепление с помощью нескольких методов, включая сценарии входа в систему и записи реестра, чтобы гарантировать автоматический запуск при входе пользователя в систему или перезагрузке системы. Кроме того, архитектура XWorm обеспечивает динамическое взаимодействие, благодаря которому операторы могут использовать функцию автозадачи или выполнять команды вручную.

Функциональные возможности плагинов XWorm's включают возможности управления файлами (например, загрузку, копирование и удаление файлов), удаленный доступ к рабочему столу и функции программ-вымогателей, которые шифруют целевые файлы с помощью шифрования AES-CBC, удаляя оригиналы. Примечательно, что плагин-вымогатель работает аналогично программе-вымогателю NoCry, указывая на возможное перекрытие кода, что предполагает общее происхождение или технику. Разработка более 35 плагинов демонстрирует адаптивную природу вредоносного ПО со специальными функциями, предназначенными для управления защитой системы и участия в различных кибератаках, включая эксфильтрацию данных и шифрование файлов.

Недавний анализ выявил продолжающиеся попытки взломать и модифицировать конструктор XWorm версии 6.0, что указывает на растущую доступность среди злоумышленников, стремящихся внедрить этот инструментарий вредоносного ПО. Последствия XWorm V6 подчеркивают постоянный и эволюционирующий ландшафт угроз, подчеркивая необходимость постоянной бдительности в отношении такого сложного и модульного вредоносного программного обеспечения.

#ParsedReport #CompletenessMedium
03-10-2025

CN APT targets Serbian Government

https://strikeready.com/blog/cn-apt-targets-serbian-government/

Report completeness: Medium

Threats:
Plugx_rat

Victims:
Serbian government, Government, Aviation

Industry:
Aerospace, Government

Geo:
Netherlands, Italy, Hungary, Serbian, Serbia, Belgium

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001

IOCs:
Domain: 8
Hash: 16
Url: 4

Soft:
CamScanner

Algorithms:
xor, zip

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания spear phishing, приписываемая группе CN по борьбе с сложнейшими целенаправленными угрозами, была нацелена на департамент гражданской авиации Сербии, что отражает постоянный интерес актора к аналогичным атакам по всей Европе. Компания CN известна сложной целенаправленной угрозой использования набора инструментов sogu/plugx/korplug во время реальных вторжений, что было постоянным элементом их деятельности на протяжении последнего десятилетия. Эти атаки в первую очередь мотивированы шпионажем, что подчеркивает значительную направленность на сбор разведывательных данных, а не на финансовую выгоду.
-----

Недавно целенаправленная кампания по spear phishing, приписываемая злоумышленнику, идентифицированному как CN сложная целенаправленная угроза, была направлена против правительственного департамента Сербии, занимающегося авиацией. Эта деятельность является частью более широкой модели, наблюдаемой в других европейских странах, что указывает на устойчивый интерес одного и того же актора к проведению аналогичных атак по всему региону. Группа CN, занимающаяся наисложнейшими целенаправленными угрозами, придерживается отличительного метода работы, преимущественно используя набор инструментов sogu/plugx/korplug для своих оперативных вторжений. Этот конкретный набор инструментов стал отличительной чертой их деятельности, демонстрируя последовательность в их подходе на протяжении последнего десятилетия.

Мотивы, стоящие за этими атаками, в первую очередь связаны со шпионажем, за редким исключением - финансовая выгода. Эта модель усиливает представление о том, что злоумышленники CN в основном сосредоточены на сборе разведывательных данных, а не на киберпреступлениях, ориентированных на получение прибыли. В целом, деятельность CN, сложная целенаправленная угроза, является примером постоянной угрозы в рамках европейского правительственного ландшафта, особенно нацеленной на чувствительные секторы. Последствия таких вторжений подчеркивают необходимость повышения бдительности и принятия стратегических защитных мер против сложных целенаправленных угроз (APT) в сфере государственной кибербезопасности.

#ParsedReport #CompletenessMedium
30-09-2025

GhostSocks: From Initial Access to Residential Proxy

https://synthient.com/blog/ghostsocks-from-initial-access-to-residential-proxy

Report completeness: Medium

Threats:
Ghostsock
Residential_proxy_technique
Blackbasta
Lumma_stealer
Garble_tool
Go-socks5_tool

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1090.001

IOCs:
Url: 1

Soft:
Outlook

Languages:
golang

YARA: Found

Links:
have more...
https://github.com/things-go/go-socks5
https://github.com/burrowers/garble

#ParsedReport #ExtractedSchema

Classified images:
code: 9, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostSocks, злоумышленник, запустил новое вредоносное ПО "как услуга" (MaaS), которое преобразует скомпрометированные устройства в residential proxies, обходя механизмы защиты от мошенничества. Вредоносное ПО, разработанное в Golang, использует методы обфускации для скрытности и устойчивости к обнаружению, расшифровывая элементы во время выполнения. Несмотря на недавнее сокращение своего присутствия в Интернете, GhostSocks продолжает развиваться и подчеркивает тенденцию использования скомпрометированных устройств для дополнительных атак, доступ к которым предлагается на подпольных рынках.
-----

15 октября 2023 года злоумышленник, идентифицированный как GhostSocks, объявил о новом вредоносном ПО как сервисе (MaaS) на российском форуме по киберпреступности. Эта услуга позволяет злоумышленникам-акторам преобразовывать скомпрометированные устройства в residential proxies, облегчая обход механизмов защиты от мошенничества и позволяя использовать компьютер жертвы. GhostSocks позиционируется благодаря своей способности предоставлять анонимный доступ к сети, извлекая выгоду из скомпрометированных ресурсов невольных жертв.

Техническая архитектура GhostSocks включает в себя возможность создания 32-разрядной библиотеки динамической компоновки (DLL) или исполняемого файла, оба из которых разработаны с использованием языка программирования Golang. Вредоносное ПО использует такие методы, как запутывание с помощью проекта garble с открытым исходным кодом, чтобы скрыть строки и символы в коде. Важно отметить, что эти запутанные элементы расшифровываются во время выполнения с использованием определенной процедуры перед их использованием, что повышает скрытность вредоносного ПО и устойчивость к обнаружению.

Несмотря на более широкое подавление инфраструктуры киберпреступников, включая недавние действия правоохранительных органов против таких платформ, как XSS и LummaStealer, GhostSocks продемонстрировала непрерывную разработку и обслуживание своей платформы и связанного с ней вредоносного ПО. Однако, похоже, его онлайн-профиль сократился, поскольку он стал неактивен на новом форуме XSS, хотя причины такого изменения в поведении остаются неясными.

Устранение угрозы, исходящей от GhostSocks, в первую очередь предполагает отказ от установки ненадежных исполняемых файлов, поскольку служба полагается на другое вредоносное ПО для получения первоначального доступа и поддержания закрепления на компьютерах-жертвах. Появление GhostSocks свидетельствует о тревожной тенденции, когда злоумышленники становятся двойными жертвами, используя скомпрометированные устройства для создания дополнительных возможностей эксплуатации. Эти зараженные системы можно найти для продажи на подпольных рынках, стоимость доступа к которым начинается всего с 0,50 доллара в день, что подчеркивает коммерциализацию скомпрометированной технологии.

#ParsedReport #CompletenessMedium
06-10-2025

Detecting DLL hijacking with machine learning: real-world cases

https://securelist.com/detecting-dll-hijacking-with-machine-learning-in-kaspersky-siem/117567/

Report completeness: Medium

Actors/Campaigns:
Toddycat

Threats:
Dll_hijacking_technique
Dll_sideloading_technique
Cobalt_strike_tool
Netstat_tool
Nltest_tool

Victims:
Sharepoint service, Corporate systems

CVEs:
CVE-2021-27076 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1055, T1574.002

IOCs:
File: 9
IP: 1
Registry: 3
Hash: 6
Path: 7

Soft:
Microsoft Edge, Chrome

Languages:
dotnet, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, table: 3, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Модель машинного обучения Kaspersky, интегрированная в их SIEM-систему, эффективно обнаруживает атаки с использованием DLL hijacking, особенно с помощью DLL Sideloading. Он проверяет все загруженные библиотеки DLL на соответствие локальным и глобальным данным, успешно выявляя такие инциденты, как использование группой ToddyCat CVE-2021-27076 для выполнения Cobalt Strike и другие случаи, связанные с вводящим в заблуждение вредоносным ПО, выдающим себя за законные системные библиотеки. Этот упреждающий подход направлен на повышение точности обнаружения при необнаруженных попытках DLL hijacking.
-----

В ходе недавнего тестирования модель машинного обучения, разработанная Kaspersky, была успешно интегрирована в их SIEM-систему для обнаружения атак с использованием DLL hijacking, в частности, с использованием метода DLL sideloading. Эта модель работает путем проведения тщательной проверки всех библиотек DLL, загруженных в систему, путем сопоставления локальных атрибутов - таких как пути к файлам, имена процессов и хэши — с глобальной базой знаний, доступ к которой осуществляется через облако Kaspersky Security Network (KSN). Сочетание локальных данных с более широкими поведенческими индикаторами повышает точность обнаружения и сводит к минимуму ложные срабатывания.

На пилотном этапе внедрения модели в их службе управляемого обнаружения и реагирования (MDR) было выявлено несколько отдельных инцидентов, в которых DLL hijacking использовался в злонамеренных целях. Один примечательный инцидент был связан с группой атак, идентифицированной как ToddyCat, которая нацелилась на уязвимую службу SharePoint с помощью CVE-2021-27076. Злоумышленники использовали эту уязвимость для выполнения команд, которые позволили им запустить инструмент Cobalt Strike, замаскированный под законную системную библиотеку.

Другой случай касался infostealer, который представился менеджером политик, о чем свидетельствует событие загрузки библиотеки DLL, отмеченное системой SIEM. Этот инцидент свидетельствует об использовании обманчивых методов для сокрытия злонамеренных намерений в библиотечных функциях системы. Наконец, произошел инцидент, когда вредоносный загрузчик маскировался под решение для обеспечения безопасности, а именно wsc.dll библиотека загружена с USB-накопителя, что также было обнаружено как событие DLL hijacking с помощью Kaspersky SIEM.

Интеграция этой модели машинного обучения обеспечила проактивную защиту от атак DLL hijacking, эффективно выявляя попытки, которые в противном случае остались бы незамеченными. Ожидается, что продолжающийся сбор данных и обновления алгоритмов в рамках KSN еще больше повысят точность модели, укрепляя ее роль в качестве важнейшего компонента мер корпоративной кибербезопасности.

#ParsedReport #CompletenessLow
06-10-2025

Attacks aimed at Italian targets, new data breach notified, vulnerabilities exploited ITW

https://www.telsy.com/attacchi-rivolti-a-target-italiani-notificati-nuovi-data-breach-vulnerabilita-sfruttate-itw/

Report completeness: Low

Actors/Campaigns:
Shinyhunters
Crimson_collective
Unc2903
Unc5174

Threats:
Purelogs
Rhadamanthys
Klopatra
Virbox_tool
Datacarry
Citrix_bleed_vuln

Victims:
Public sector, Universities, Financial services, Retail, Airline, Insurance, Technology

Industry:
Aerospace, E-commerce, Education

Geo:
Swedish, China, Canadian, Italian, Italy, Spain

CVEs:
CVE-2025-20352 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-10035 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41244 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-59689 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-5777 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32463 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-21311 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1036, T1068, T1190, T1210, T1548.003, T1555, T1566, T1568.002, T1584, T1650, have more...

Soft:
Android, Salesforce, Telegram, GoAnywhere, Sudo