#ParsedReport #CompletenessMedium
06-10-2025

Detecting DLL hijacking with machine learning: real-world cases

https://securelist.com/detecting-dll-hijacking-with-machine-learning-in-kaspersky-siem/117567/

Report completeness: Medium

Actors/Campaigns:
Toddycat

Threats:
Dll_hijacking_technique
Dll_sideloading_technique
Cobalt_strike_tool
Netstat_tool
Nltest_tool

Victims:
Sharepoint service, Corporate systems

CVEs:
CVE-2021-27076 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1055, T1574.002

IOCs:
File: 9
IP: 1
Registry: 3
Hash: 6
Path: 7

Soft:
Microsoft Edge, Chrome

Languages:
dotnet, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, table: 3, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Модель машинного обучения Kaspersky, интегрированная в их SIEM-систему, эффективно обнаруживает атаки с использованием DLL hijacking, особенно с помощью DLL Sideloading. Он проверяет все загруженные библиотеки DLL на соответствие локальным и глобальным данным, успешно выявляя такие инциденты, как использование группой ToddyCat CVE-2021-27076 для выполнения Cobalt Strike и другие случаи, связанные с вводящим в заблуждение вредоносным ПО, выдающим себя за законные системные библиотеки. Этот упреждающий подход направлен на повышение точности обнаружения при необнаруженных попытках DLL hijacking.
-----

В ходе недавнего тестирования модель машинного обучения, разработанная Kaspersky, была успешно интегрирована в их SIEM-систему для обнаружения атак с использованием DLL hijacking, в частности, с использованием метода DLL sideloading. Эта модель работает путем проведения тщательной проверки всех библиотек DLL, загруженных в систему, путем сопоставления локальных атрибутов - таких как пути к файлам, имена процессов и хэши — с глобальной базой знаний, доступ к которой осуществляется через облако Kaspersky Security Network (KSN). Сочетание локальных данных с более широкими поведенческими индикаторами повышает точность обнаружения и сводит к минимуму ложные срабатывания.

На пилотном этапе внедрения модели в их службе управляемого обнаружения и реагирования (MDR) было выявлено несколько отдельных инцидентов, в которых DLL hijacking использовался в злонамеренных целях. Один примечательный инцидент был связан с группой атак, идентифицированной как ToddyCat, которая нацелилась на уязвимую службу SharePoint с помощью CVE-2021-27076. Злоумышленники использовали эту уязвимость для выполнения команд, которые позволили им запустить инструмент Cobalt Strike, замаскированный под законную системную библиотеку.

Другой случай касался infostealer, который представился менеджером политик, о чем свидетельствует событие загрузки библиотеки DLL, отмеченное системой SIEM. Этот инцидент свидетельствует об использовании обманчивых методов для сокрытия злонамеренных намерений в библиотечных функциях системы. Наконец, произошел инцидент, когда вредоносный загрузчик маскировался под решение для обеспечения безопасности, а именно wsc.dll библиотека загружена с USB-накопителя, что также было обнаружено как событие DLL hijacking с помощью Kaspersky SIEM.

Интеграция этой модели машинного обучения обеспечила проактивную защиту от атак DLL hijacking, эффективно выявляя попытки, которые в противном случае остались бы незамеченными. Ожидается, что продолжающийся сбор данных и обновления алгоритмов в рамках KSN еще больше повысят точность модели, укрепляя ее роль в качестве важнейшего компонента мер корпоративной кибербезопасности.

#ParsedReport #CompletenessLow
06-10-2025

Attacks aimed at Italian targets, new data breach notified, vulnerabilities exploited ITW

https://www.telsy.com/attacchi-rivolti-a-target-italiani-notificati-nuovi-data-breach-vulnerabilita-sfruttate-itw/

Report completeness: Low

Actors/Campaigns:
Shinyhunters
Crimson_collective
Unc2903
Unc5174

Threats:
Purelogs
Rhadamanthys
Klopatra
Virbox_tool
Datacarry
Citrix_bleed_vuln

Victims:
Public sector, Universities, Financial services, Retail, Airline, Insurance, Technology

Industry:
Aerospace, E-commerce, Education

Geo:
Swedish, China, Canadian, Italian, Italy, Spain

CVEs:
CVE-2025-20352 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-10035 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41244 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-59689 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-5777 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32463 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-21311 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1036, T1068, T1190, T1210, T1548.003, T1555, T1566, T1568.002, T1584, T1650, have more...

Soft:
Android, Salesforce, Telegram, GoAnywhere, Sudo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Италия столкнулась с ростом числа киберугроз, включая схемы фишинга, нацеленные на правительственных пользователей и пользователей университетов, а также внедрение вредоносного ПО, такого как PureLogs infostealer и Klopatra Android RAT, что позволяет осуществлять широкий контроль над устройствами. Примечательно, что киберпреступная группа DATACARRY осуществила утечку данных примерно с 870 000 учетных записей. Кроме того, активно используются многочисленные уязвимости zero-day, в том числе CVE-2025-10035, влияющие на Fortra GoAnywhere, и серьезные риски, связанные с CVE-2025-5777, позволяющие получить несанкционированный доступ к конфиденциальным данным в сети FEMA.
-----

В Италии участились кампании фишинга, нацеленные на пользователей Sistema Tessera Sanitaria и университеты, использующие логотипы законных учреждений для обмана пользователей. Идентифицированы два варианта вредоносного ПО: infostealer PureLogs, связанный с заказами на покупку, и Rhadamanthys, связанный с Booking.com счета-фактуры. Новая Android-крыса под названием Klopatra, приписываемая тюркоязычным злоумышленникам, позволяет осуществлять полный контроль над устройством, кражу данных и мошеннические транзакции, усложняя обнаружение благодаря интеграции в Virbox. Киберпреступная группа DATACARRY несет ответственность за взлом Miljdata, в результате которого была раскрыта информация примерно с 870 000 учетных записей. Harrods сообщила о нарушении, затронувшем 430 000 клиентов электронной коммерции, связанных со сторонним поставщиком, в то время как WestJet подтвердила компромисс, связанный с конфиденциальной информацией клиентов. Allianz Life выявил нарушение, затронувшее почти 1,5 миллиона человек, приписываемое ShinyHunters, а Crimson Collective заявила о взломе частных репозиториев Red Hat на GitHub. Активное использование уязвимостей включает CVE-2025-10035 в Fortra GoAnywhere, влияющих на десериализацию ненадежных данных, CVE-2021-21311 в программном обеспечении администратора для подделки запросов на стороне сервера, CVE-2025-20352 в Cisco IOS для потенциального удаленного выполнения кода, CVE-2025-59689 в Libraesva ESG для ввода команд, и CVE-2025-32463 в Sudo для несанкционированного выполнения команды. CVE-2025-41244 в продуктах VMware связан с UNC5174 для локального повышения привилегий, в то время как CVE-2025-5777, известный как CitrixBleed 2.0, позволяет обойти Многофакторную аутентификацию, что приводит к несанкционированному доступу к конфиденциальным персональным данным и побуждает к действиям Министерство внутренней безопасности.

#ParsedReport #CompletenessMedium
06-10-2025

NGC4141: East Asian group attacks custom web applications

https://rt-solar.ru/solar-4rays/blog/6097/

Report completeness: Medium

Actors/Campaigns:
Ngc4141 (motivation: cyber_espionage)

Threats:
Netstat_tool
Proxychains_tool
Hping3_tool
Netcat_tool
Nmap_tool
Wso_webshell
Godzilla_webshell

Victims:
Custom web applications

Industry:
Telco

Geo:
Russian, Asia, Moscow, Asian, Korea

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 8
IP: 14
Hash: 17

Soft:
WordPress, Bitrix, curl, docker, vim-cmd, sudo

Algorithms:
aes-256, aes-256-cbc, base64, md5, xor, aes, cbc, sha1, sha256

Functions:
getBasicsInfo, eval

Win API:
readfile

Languages:
python, php

Platforms:
x64

Links:
https://github.com/808Mak1r/GodzillaSource/blob/main/src/main/resources/shell/php/template/base64.bin
have more...
https://github.com/mIcHyAmRaNe/wso-webshell/blob/master/wso.php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NGC4141, злоумышленник, базирующийся в Восточной Азии, нацеливается на пользовательские веб-приложения, используя сложные методы атак, которые используют уязвимости, характерные для этих специализированных решений, которым часто не хватает надежных мер безопасности более распространенного программного обеспечения. Хотя в статье не указаны точные уязвимости или используемые методы атак, в ней подчеркивается растущая тенденция, когда индивидуальные приложения создают уникальные проблемы безопасности, что делает их более восприимчивыми к продвинутым угрозам. Сосредоточение внимания на таких приложениях подчеркивает эволюционирующий характер киберугроз и важность устранения недостатков в области безопасности в процессе разработки.
-----

Группа, идентифицированная как NGC4141, предположительно базирующаяся в Восточной Азии, нацеливалась на пользовательские веб-приложения с помощью сложных методов атаки. Группа использует различные уязвимости, характерные для этих специализированных решений, в которых могут отсутствовать стандартные меры безопасности, применяемые в более распространенных программных платформах. Хотя в статье не указаны точные уязвимости, используемые NGC4141, подразумевается, что пользовательские веб-приложения, возможно, не были тщательно протестированы против того же спектра векторов атак, с которыми сталкивались более широко используемые платформы, что потенциально делает их более восприимчивыми к продвинутым угрозам.

Деятельность группы подчеркивает важную тенденцию в области киберугроз, когда злоумышленники сосредотачиваются на специализированных веб-приложениях. Пользовательские приложения часто включают в себя уникальное кодирование и функциональность, что приводит к потенциальным упущениям при реализации безопасности. Эти упущения могут стать критическими точками входа для киберугроз, позволяя злоумышленникам обходить средства контроля безопасности, которые могут быть стандартными в более коммерчески доступном программном обеспечении.

Дальнейшие подробности о конкретных методах или инструментах, используемых NGC4141 в своих атаках, не были раскрыты, что оставляет пробел в понимании их оперативной методологии. Однако их сосредоточенность на веб-приложениях вызывает обеспокоенность у организаций, которые полагаются на такие индивидуальные системы, подчеркивая необходимость строгих методов обеспечения безопасности, таких как регулярные оценки уязвимостей и внедрение стандартов безопасного кодирования, для снижения рисков, создаваемых такими злоумышленниками.

Текущая деятельность NGC4141 служит напоминанием о меняющейся природе киберугроз, особенно тех, которые конкретно нацелены на уникальный ландшафт пользовательских программных приложений. Организациям настоятельно рекомендуется сохранять бдительность и обеспечивать наличие надежной защиты от целенаправленных атак, использующих специфические уязвимости, присущие пользовательской разработке.

Мы всегда топили за то, что "в лоб" использовать ИИ для работы с TI - плохая идея.
На разных конфах я рассказывал какие части анализа можно отдавать на откуп ИИ достаточно безопасно, а какие требуют доп. валидации, вплоть до ручной проверки.

Вот интересная новость в эту тему https://www.rbc.ru/technology_and_media/07/10/2025/68e4c63c9a79476d758073d8

#ParsedReport #CompletenessMedium
07-10-2025

Mustang Panda Employ Publoader Through ClaimLoader: Yes.. another DLL Side-Loading Technique Delivery via Phishing

https://0x0d4y.blog/mustang-panda-employ-publoader-through-claimloader-yes-another-dll-side-loading-technique-delivery-via-phishing/

Report completeness: Medium

Actors/Campaigns:
Red_delta

Threats:
Dll_sideloading_technique
Publoader_tool
Claimloader
Veletrix
Icedid

Victims:
Multiple sectors

Geo:
Tibetan, China, Chinese

TTPs:
Tactics: 2
Technics: 2

IOCs:
File: 7
Path: 3

Soft:
Windows Explorer

Algorithms:
ror13, xor, zip

Win API:
LoadLibraryW, LdrLoadDll, GetCommandLineW, CreateDirectoryW, MoveFileW, GetProcAddress, CreateProcessA, VirtualAlloc, EnumFontsW, LoadLibraryA, have more...

Win Services:
bits

Languages:
python

Links:
https://github.com/0xx0d4y/YaraRules/tree/main/MustangPanda
have more...
https://github.com/0xx0d4y/RE\_AutomationPythonScripts/tree/main/RE\_Automation/Mustang%20Panda%20-%20Voice%20if%20Voiceless%20Campaign

#ParsedReport #ExtractedSchema

Classified images:
table: 1, dump: 8, windows: 4, code: 13, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mustang Panda, хакерская группировка, связанная с Китаем, использует метод DLL side-loading с помощью фишинга, предоставляя полезную нагрузку, содержащуюся в .ZIP-файл для загрузки вредоносной библиотеки DLL, libjyy.dll , функционирующий как Claimloader. Это вредоносное ПО выполняет расшифровку строки с помощью XOR для загрузки API и обрабатывает аргументы командной строки для управления путями выполнения. Вредоносное ПО также допускает извлечение шеллкода и отражает операционные схемы, наблюдаемые в других группах, занимающихся сложными целенаправленными угрозами, что указывает на общий набор инструментов и эволюционирующую тактику в ландшафте угроз.
-----

Mustang Panda, хакерская группировка, связанная с Китаем, использовала в своих операциях метод DLL side-loading, используя метод фишинга для доставки полезных данных. Механизм доставки включает в себя файл-приманку, содержащийся в .ZIP-архив, который был замечен в предыдущих кампаниях с участием других злоумышленников, связанных с Китаем. Основная функция этой приманки заключается в загрузке вредоносной библиотеки DLL с именем libjyy.dll , который действует как основной компонент вредоносного ПО.

После изучения libjyy.dll , он раскрывает свою роль в качестве Claimloader, в первую очередь ответственного за выполнение различных функций. Ключевым аспектом его работы является расшифровка строк, выполняемая с помощью простой операции XOR с однобайтовым ключом. Эта процедура расшифровки имеет решающее значение, поскольку она динамически загружает API, необходимые для выделения, внедрения и выполнения последующих этапов, включая Publoader.

Claimloader предназначен для обработки аргументов командной строки. Он определяет свое поведение в зависимости от того, присутствует или отсутствует допустимый аргумент, что приводит к различным путям выполнения внутри кода. В сценариях, где правильный аргумент не обнаружен, Claimloader запустит альтернативные пути выполнения кода, чтобы обеспечить непрерывную работу в зараженной системе.

Кроме того, возможности вредоносного ПО распространяются на извлечение шеллкода, что возможно с помощью инструментов динамического анализа, таких как x32dbg. Этот процесс включает в себя правильную идентификацию и извлечение шелл-кода из памяти, который впоследствии может быть проанализирован на предмет его функциональности. Первоначальные попытки проанализировать извлеченный шеллкод с помощью таких инструментов, как Malcat или IDA Pro, могут столкнуться с трудностями, что указывает на необходимость специальных методологий, адаптированных для обработки таких образцов.

Оперативные методологии, рассмотренные в этом расследовании, отражают более широкие закономерности, обнаруженные в других кампаниях по борьбе с наисложнейшими целенаправленными угрозами, связанных с Китаем, что позволяет предположить наличие общего набора методов и тактики у этих злоумышленников. В целом, этот случай иллюстрирует ландшафт постоянных угроз, характеризуемый эволюционирующей тактикой таких групп, как Mustang Panda, что подтверждает важность постоянного мониторинга и анализа в сфере разведки киберугроз.

#ParsedReport #CompletenessLow
07-10-2025

Phishing from Home The Hidden Danger in Remote Jobs Lurking in Tesla, Google, Ferrari, and Glassdoor

https://cofense.com/blog/phishing-from-home-the-hidden-danger-in-remote-jobs

Report completeness: Low

Threats:
Spear-phishing_technique

Victims:
Job seekers, Social media roles, Marketing roles

ChatGPT TTPs:
do not use without manual check
T1204.001, T1566.002, T1585.001, T1586.003, T1589, T1606.003

IOCs:
Url: 9
IP: 10

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В третьем квартале 2024 года кампания фишинга была нацелена на специалистов по Социальным сетям и маркетингу, которые выдавали себя за компании из списка Fortune 500 с помощью поддельных заявлений о приеме на работу. Злоумышленники использовали поддельные Адреса эл. почты и создали многоэтапный процесс с использованием CAPTCHA и поддельной целевой страницы Glassdoor для сбора учетных данных электронной почты и Facebook, а также запрашивали резюме для повышения аутентичности. Этот метод ознаменовал собой отход от традиционной тактики, ориентированной исключительно на PII, что указывает на эволюцию стратегий фишинга.
-----

В третьем квартале 2024 года Центр защиты от фишинга Cofense (PDC) раскрыл кампанию фишинга, направленную на отдельных лиц в Социальных сетях и на маркетинговые роли, которые использовали поддельные заявления о приеме на работу, выдавая себя за несколько известных компаний из списка Fortune 500, включая Tesla, Google, Ferrari и Glassdoor. Эта тенденция нацеливания на лиц, ищущих работу, с помощью изощренных методов фишинга демонстрирует, как злоумышленники становятся все более искусными в разработке правдоподобных сценариев для обмана жертв. Кампания основана на более ранних выводах PDC относительно использования сведений о резюме в аналогичных атаках "Spear Phishing" при подаче заявления о приеме на работу.

Чтобы повысить легитимность кампании, злоумышленники использовали Адреса эл. почты, подделывающие известные бренды, в частности, используя "messaging-service@post.xero.com ". Несмотря на то, что Xero является законной компанией, ее инфраструктура ранее использовалась киберпреступниками, что позволило злоумышленникам увеличить шансы обойти меры безопасности и завоевать доверие своих целей. Эта тактика подчеркивает растущую зависимость злоумышленников от доверенных доменов для облегчения своих схем.

Кампания по фишингу включала в себя многоэтапный процесс, который начинался со страницы с капчей и приводил к поддельной целевой странице Glassdoor. Эта страница была стратегически разработана для того, чтобы побудить жертв либо ввести свои учетные данные электронной почты напрямую, либо войти в систему через поддельный портал Facebook с целью получения информации для входа в Facebook. Заметным изменением в кампании стало включение запросов на резюме, что ознаменовало отход от предыдущей тактики, которая была сосредоточена исключительно на получении информации, позволяющей установить личность (PII), такой как полное имя, номер телефона и адрес. Попросив кандидатов загрузить свои резюме, злоумышленники еще больше усилили иллюзию подлинности, тем самым увеличив вероятность успешного компрометации и позволив собрать дополнительные персональные данные для последующих усилий по социальной инженерии.

#ParsedReport #CompletenessMedium
06-10-2025

Investigating active exploitation of CVE-2025-10035 GoAnywhere Managed File Transfer vulnerability

https://www.microsoft.com/en-us/security/blog/2025/10/06/investigating-active-exploitation-of-cve-2025-10035-goanywhere-managed-file-transfer-vulnerability/

Report completeness: Medium

Actors/Campaigns:
Storm-1175 (motivation: cyber_criminal)

Threats:
Medusa_ransomware
Simplehelp_tool
Meshagent_tool
Netscan_tool
Rclone_tool
Nltest_tool
Bitsadmin_tool

Victims:
Organizations, Goanywhere mft users

CVEs:
CVE-2025-10035 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 7
Hash: 4
IP: 3

Soft:
GoAnywhere, Microsoft Defender, Microsoft Defender for Endpoint, Twitter

Algorithms:
sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4