#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Модель машинного обучения Kaspersky, интегрированная в их SIEM-систему, эффективно обнаруживает атаки с использованием DLL hijacking, особенно с помощью DLL Sideloading. Он проверяет все загруженные библиотеки DLL на соответствие локальным и глобальным данным, успешно выявляя такие инциденты, как использование группой ToddyCat CVE-2021-27076 для выполнения Cobalt Strike и другие случаи, связанные с вводящим в заблуждение вредоносным ПО, выдающим себя за законные системные библиотеки. Этот упреждающий подход направлен на повышение точности обнаружения при необнаруженных попытках DLL hijacking.
-----

В ходе недавнего тестирования модель машинного обучения, разработанная Kaspersky, была успешно интегрирована в их SIEM-систему для обнаружения атак с использованием DLL hijacking, в частности, с использованием метода DLL sideloading. Эта модель работает путем проведения тщательной проверки всех библиотек DLL, загруженных в систему, путем сопоставления локальных атрибутов - таких как пути к файлам, имена процессов и хэши — с глобальной базой знаний, доступ к которой осуществляется через облако Kaspersky Security Network (KSN). Сочетание локальных данных с более широкими поведенческими индикаторами повышает точность обнаружения и сводит к минимуму ложные срабатывания.

На пилотном этапе внедрения модели в их службе управляемого обнаружения и реагирования (MDR) было выявлено несколько отдельных инцидентов, в которых DLL hijacking использовался в злонамеренных целях. Один примечательный инцидент был связан с группой атак, идентифицированной как ToddyCat, которая нацелилась на уязвимую службу SharePoint с помощью CVE-2021-27076. Злоумышленники использовали эту уязвимость для выполнения команд, которые позволили им запустить инструмент Cobalt Strike, замаскированный под законную системную библиотеку.

Другой случай касался infostealer, который представился менеджером политик, о чем свидетельствует событие загрузки библиотеки DLL, отмеченное системой SIEM. Этот инцидент свидетельствует об использовании обманчивых методов для сокрытия злонамеренных намерений в библиотечных функциях системы. Наконец, произошел инцидент, когда вредоносный загрузчик маскировался под решение для обеспечения безопасности, а именно wsc.dll библиотека загружена с USB-накопителя, что также было обнаружено как событие DLL hijacking с помощью Kaspersky SIEM.

Интеграция этой модели машинного обучения обеспечила проактивную защиту от атак DLL hijacking, эффективно выявляя попытки, которые в противном случае остались бы незамеченными. Ожидается, что продолжающийся сбор данных и обновления алгоритмов в рамках KSN еще больше повысят точность модели, укрепляя ее роль в качестве важнейшего компонента мер корпоративной кибербезопасности.

#ParsedReport #CompletenessLow
06-10-2025

Attacks aimed at Italian targets, new data breach notified, vulnerabilities exploited ITW

https://www.telsy.com/attacchi-rivolti-a-target-italiani-notificati-nuovi-data-breach-vulnerabilita-sfruttate-itw/

Report completeness: Low

Actors/Campaigns:
Shinyhunters
Crimson_collective
Unc2903
Unc5174

Threats:
Purelogs
Rhadamanthys
Klopatra
Virbox_tool
Datacarry
Citrix_bleed_vuln

Victims:
Public sector, Universities, Financial services, Retail, Airline, Insurance, Technology

Industry:
Aerospace, E-commerce, Education

Geo:
Swedish, China, Canadian, Italian, Italy, Spain

CVEs:
CVE-2025-20352 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-10035 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41244 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-59689 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-5777 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32463 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-21311 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1036, T1068, T1190, T1210, T1548.003, T1555, T1566, T1568.002, T1584, T1650, have more...

Soft:
Android, Salesforce, Telegram, GoAnywhere, Sudo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Италия столкнулась с ростом числа киберугроз, включая схемы фишинга, нацеленные на правительственных пользователей и пользователей университетов, а также внедрение вредоносного ПО, такого как PureLogs infostealer и Klopatra Android RAT, что позволяет осуществлять широкий контроль над устройствами. Примечательно, что киберпреступная группа DATACARRY осуществила утечку данных примерно с 870 000 учетных записей. Кроме того, активно используются многочисленные уязвимости zero-day, в том числе CVE-2025-10035, влияющие на Fortra GoAnywhere, и серьезные риски, связанные с CVE-2025-5777, позволяющие получить несанкционированный доступ к конфиденциальным данным в сети FEMA.
-----

В Италии участились кампании фишинга, нацеленные на пользователей Sistema Tessera Sanitaria и университеты, использующие логотипы законных учреждений для обмана пользователей. Идентифицированы два варианта вредоносного ПО: infostealer PureLogs, связанный с заказами на покупку, и Rhadamanthys, связанный с Booking.com счета-фактуры. Новая Android-крыса под названием Klopatra, приписываемая тюркоязычным злоумышленникам, позволяет осуществлять полный контроль над устройством, кражу данных и мошеннические транзакции, усложняя обнаружение благодаря интеграции в Virbox. Киберпреступная группа DATACARRY несет ответственность за взлом Miljdata, в результате которого была раскрыта информация примерно с 870 000 учетных записей. Harrods сообщила о нарушении, затронувшем 430 000 клиентов электронной коммерции, связанных со сторонним поставщиком, в то время как WestJet подтвердила компромисс, связанный с конфиденциальной информацией клиентов. Allianz Life выявил нарушение, затронувшее почти 1,5 миллиона человек, приписываемое ShinyHunters, а Crimson Collective заявила о взломе частных репозиториев Red Hat на GitHub. Активное использование уязвимостей включает CVE-2025-10035 в Fortra GoAnywhere, влияющих на десериализацию ненадежных данных, CVE-2021-21311 в программном обеспечении администратора для подделки запросов на стороне сервера, CVE-2025-20352 в Cisco IOS для потенциального удаленного выполнения кода, CVE-2025-59689 в Libraesva ESG для ввода команд, и CVE-2025-32463 в Sudo для несанкционированного выполнения команды. CVE-2025-41244 в продуктах VMware связан с UNC5174 для локального повышения привилегий, в то время как CVE-2025-5777, известный как CitrixBleed 2.0, позволяет обойти Многофакторную аутентификацию, что приводит к несанкционированному доступу к конфиденциальным персональным данным и побуждает к действиям Министерство внутренней безопасности.

#ParsedReport #CompletenessMedium
06-10-2025

NGC4141: East Asian group attacks custom web applications

https://rt-solar.ru/solar-4rays/blog/6097/

Report completeness: Medium

Actors/Campaigns:
Ngc4141 (motivation: cyber_espionage)

Threats:
Netstat_tool
Proxychains_tool
Hping3_tool
Netcat_tool
Nmap_tool
Wso_webshell
Godzilla_webshell

Victims:
Custom web applications

Industry:
Telco

Geo:
Russian, Asia, Moscow, Asian, Korea

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 8
IP: 14
Hash: 17

Soft:
WordPress, Bitrix, curl, docker, vim-cmd, sudo

Algorithms:
aes-256, aes-256-cbc, base64, md5, xor, aes, cbc, sha1, sha256

Functions:
getBasicsInfo, eval

Win API:
readfile

Languages:
python, php

Platforms:
x64

Links:
https://github.com/808Mak1r/GodzillaSource/blob/main/src/main/resources/shell/php/template/base64.bin
have more...
https://github.com/mIcHyAmRaNe/wso-webshell/blob/master/wso.php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NGC4141, злоумышленник, базирующийся в Восточной Азии, нацеливается на пользовательские веб-приложения, используя сложные методы атак, которые используют уязвимости, характерные для этих специализированных решений, которым часто не хватает надежных мер безопасности более распространенного программного обеспечения. Хотя в статье не указаны точные уязвимости или используемые методы атак, в ней подчеркивается растущая тенденция, когда индивидуальные приложения создают уникальные проблемы безопасности, что делает их более восприимчивыми к продвинутым угрозам. Сосредоточение внимания на таких приложениях подчеркивает эволюционирующий характер киберугроз и важность устранения недостатков в области безопасности в процессе разработки.
-----

Группа, идентифицированная как NGC4141, предположительно базирующаяся в Восточной Азии, нацеливалась на пользовательские веб-приложения с помощью сложных методов атаки. Группа использует различные уязвимости, характерные для этих специализированных решений, в которых могут отсутствовать стандартные меры безопасности, применяемые в более распространенных программных платформах. Хотя в статье не указаны точные уязвимости, используемые NGC4141, подразумевается, что пользовательские веб-приложения, возможно, не были тщательно протестированы против того же спектра векторов атак, с которыми сталкивались более широко используемые платформы, что потенциально делает их более восприимчивыми к продвинутым угрозам.

Деятельность группы подчеркивает важную тенденцию в области киберугроз, когда злоумышленники сосредотачиваются на специализированных веб-приложениях. Пользовательские приложения часто включают в себя уникальное кодирование и функциональность, что приводит к потенциальным упущениям при реализации безопасности. Эти упущения могут стать критическими точками входа для киберугроз, позволяя злоумышленникам обходить средства контроля безопасности, которые могут быть стандартными в более коммерчески доступном программном обеспечении.

Дальнейшие подробности о конкретных методах или инструментах, используемых NGC4141 в своих атаках, не были раскрыты, что оставляет пробел в понимании их оперативной методологии. Однако их сосредоточенность на веб-приложениях вызывает обеспокоенность у организаций, которые полагаются на такие индивидуальные системы, подчеркивая необходимость строгих методов обеспечения безопасности, таких как регулярные оценки уязвимостей и внедрение стандартов безопасного кодирования, для снижения рисков, создаваемых такими злоумышленниками.

Текущая деятельность NGC4141 служит напоминанием о меняющейся природе киберугроз, особенно тех, которые конкретно нацелены на уникальный ландшафт пользовательских программных приложений. Организациям настоятельно рекомендуется сохранять бдительность и обеспечивать наличие надежной защиты от целенаправленных атак, использующих специфические уязвимости, присущие пользовательской разработке.

Мы всегда топили за то, что "в лоб" использовать ИИ для работы с TI - плохая идея.
На разных конфах я рассказывал какие части анализа можно отдавать на откуп ИИ достаточно безопасно, а какие требуют доп. валидации, вплоть до ручной проверки.

Вот интересная новость в эту тему https://www.rbc.ru/technology_and_media/07/10/2025/68e4c63c9a79476d758073d8

#ParsedReport #CompletenessMedium
07-10-2025

Mustang Panda Employ Publoader Through ClaimLoader: Yes.. another DLL Side-Loading Technique Delivery via Phishing

https://0x0d4y.blog/mustang-panda-employ-publoader-through-claimloader-yes-another-dll-side-loading-technique-delivery-via-phishing/

Report completeness: Medium

Actors/Campaigns:
Red_delta

Threats:
Dll_sideloading_technique
Publoader_tool
Claimloader
Veletrix
Icedid

Victims:
Multiple sectors

Geo:
Tibetan, China, Chinese

TTPs:
Tactics: 2
Technics: 2

IOCs:
File: 7
Path: 3

Soft:
Windows Explorer

Algorithms:
ror13, xor, zip

Win API:
LoadLibraryW, LdrLoadDll, GetCommandLineW, CreateDirectoryW, MoveFileW, GetProcAddress, CreateProcessA, VirtualAlloc, EnumFontsW, LoadLibraryA, have more...

Win Services:
bits

Languages:
python

Links:
https://github.com/0xx0d4y/YaraRules/tree/main/MustangPanda
have more...
https://github.com/0xx0d4y/RE\_AutomationPythonScripts/tree/main/RE\_Automation/Mustang%20Panda%20-%20Voice%20if%20Voiceless%20Campaign

#ParsedReport #ExtractedSchema

Classified images:
table: 1, dump: 8, windows: 4, code: 13, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mustang Panda, хакерская группировка, связанная с Китаем, использует метод DLL side-loading с помощью фишинга, предоставляя полезную нагрузку, содержащуюся в .ZIP-файл для загрузки вредоносной библиотеки DLL, libjyy.dll , функционирующий как Claimloader. Это вредоносное ПО выполняет расшифровку строки с помощью XOR для загрузки API и обрабатывает аргументы командной строки для управления путями выполнения. Вредоносное ПО также допускает извлечение шеллкода и отражает операционные схемы, наблюдаемые в других группах, занимающихся сложными целенаправленными угрозами, что указывает на общий набор инструментов и эволюционирующую тактику в ландшафте угроз.
-----

Mustang Panda, хакерская группировка, связанная с Китаем, использовала в своих операциях метод DLL side-loading, используя метод фишинга для доставки полезных данных. Механизм доставки включает в себя файл-приманку, содержащийся в .ZIP-архив, который был замечен в предыдущих кампаниях с участием других злоумышленников, связанных с Китаем. Основная функция этой приманки заключается в загрузке вредоносной библиотеки DLL с именем libjyy.dll , который действует как основной компонент вредоносного ПО.

После изучения libjyy.dll , он раскрывает свою роль в качестве Claimloader, в первую очередь ответственного за выполнение различных функций. Ключевым аспектом его работы является расшифровка строк, выполняемая с помощью простой операции XOR с однобайтовым ключом. Эта процедура расшифровки имеет решающее значение, поскольку она динамически загружает API, необходимые для выделения, внедрения и выполнения последующих этапов, включая Publoader.

Claimloader предназначен для обработки аргументов командной строки. Он определяет свое поведение в зависимости от того, присутствует или отсутствует допустимый аргумент, что приводит к различным путям выполнения внутри кода. В сценариях, где правильный аргумент не обнаружен, Claimloader запустит альтернативные пути выполнения кода, чтобы обеспечить непрерывную работу в зараженной системе.

Кроме того, возможности вредоносного ПО распространяются на извлечение шеллкода, что возможно с помощью инструментов динамического анализа, таких как x32dbg. Этот процесс включает в себя правильную идентификацию и извлечение шелл-кода из памяти, который впоследствии может быть проанализирован на предмет его функциональности. Первоначальные попытки проанализировать извлеченный шеллкод с помощью таких инструментов, как Malcat или IDA Pro, могут столкнуться с трудностями, что указывает на необходимость специальных методологий, адаптированных для обработки таких образцов.

Оперативные методологии, рассмотренные в этом расследовании, отражают более широкие закономерности, обнаруженные в других кампаниях по борьбе с наисложнейшими целенаправленными угрозами, связанных с Китаем, что позволяет предположить наличие общего набора методов и тактики у этих злоумышленников. В целом, этот случай иллюстрирует ландшафт постоянных угроз, характеризуемый эволюционирующей тактикой таких групп, как Mustang Panda, что подтверждает важность постоянного мониторинга и анализа в сфере разведки киберугроз.

#ParsedReport #CompletenessLow
07-10-2025

Phishing from Home The Hidden Danger in Remote Jobs Lurking in Tesla, Google, Ferrari, and Glassdoor

https://cofense.com/blog/phishing-from-home-the-hidden-danger-in-remote-jobs

Report completeness: Low

Threats:
Spear-phishing_technique

Victims:
Job seekers, Social media roles, Marketing roles

ChatGPT TTPs:
do not use without manual check
T1204.001, T1566.002, T1585.001, T1586.003, T1589, T1606.003

IOCs:
Url: 9
IP: 10

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В третьем квартале 2024 года кампания фишинга была нацелена на специалистов по Социальным сетям и маркетингу, которые выдавали себя за компании из списка Fortune 500 с помощью поддельных заявлений о приеме на работу. Злоумышленники использовали поддельные Адреса эл. почты и создали многоэтапный процесс с использованием CAPTCHA и поддельной целевой страницы Glassdoor для сбора учетных данных электронной почты и Facebook, а также запрашивали резюме для повышения аутентичности. Этот метод ознаменовал собой отход от традиционной тактики, ориентированной исключительно на PII, что указывает на эволюцию стратегий фишинга.
-----

В третьем квартале 2024 года Центр защиты от фишинга Cofense (PDC) раскрыл кампанию фишинга, направленную на отдельных лиц в Социальных сетях и на маркетинговые роли, которые использовали поддельные заявления о приеме на работу, выдавая себя за несколько известных компаний из списка Fortune 500, включая Tesla, Google, Ferrari и Glassdoor. Эта тенденция нацеливания на лиц, ищущих работу, с помощью изощренных методов фишинга демонстрирует, как злоумышленники становятся все более искусными в разработке правдоподобных сценариев для обмана жертв. Кампания основана на более ранних выводах PDC относительно использования сведений о резюме в аналогичных атаках "Spear Phishing" при подаче заявления о приеме на работу.

Чтобы повысить легитимность кампании, злоумышленники использовали Адреса эл. почты, подделывающие известные бренды, в частности, используя "messaging-service@post.xero.com ". Несмотря на то, что Xero является законной компанией, ее инфраструктура ранее использовалась киберпреступниками, что позволило злоумышленникам увеличить шансы обойти меры безопасности и завоевать доверие своих целей. Эта тактика подчеркивает растущую зависимость злоумышленников от доверенных доменов для облегчения своих схем.

Кампания по фишингу включала в себя многоэтапный процесс, который начинался со страницы с капчей и приводил к поддельной целевой странице Glassdoor. Эта страница была стратегически разработана для того, чтобы побудить жертв либо ввести свои учетные данные электронной почты напрямую, либо войти в систему через поддельный портал Facebook с целью получения информации для входа в Facebook. Заметным изменением в кампании стало включение запросов на резюме, что ознаменовало отход от предыдущей тактики, которая была сосредоточена исключительно на получении информации, позволяющей установить личность (PII), такой как полное имя, номер телефона и адрес. Попросив кандидатов загрузить свои резюме, злоумышленники еще больше усилили иллюзию подлинности, тем самым увеличив вероятность успешного компрометации и позволив собрать дополнительные персональные данные для последующих усилий по социальной инженерии.

#ParsedReport #CompletenessMedium
06-10-2025

Investigating active exploitation of CVE-2025-10035 GoAnywhere Managed File Transfer vulnerability

https://www.microsoft.com/en-us/security/blog/2025/10/06/investigating-active-exploitation-of-cve-2025-10035-goanywhere-managed-file-transfer-vulnerability/

Report completeness: Medium

Actors/Campaigns:
Storm-1175 (motivation: cyber_criminal)

Threats:
Medusa_ransomware
Simplehelp_tool
Meshagent_tool
Netscan_tool
Rclone_tool
Nltest_tool
Bitsadmin_tool

Victims:
Organizations, Goanywhere mft users

CVEs:
CVE-2025-10035 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 7
Hash: 4
IP: 3

Soft:
GoAnywhere, Microsoft Defender, Microsoft Defender for Endpoint, Twitter

Algorithms:
sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
18 сентября 2025 года была обнаружена критическая уязвимость десериализации (CVE-2025-10035) в программном обеспечении Fortra's GoAnywhere MFT с оценкой CVSS 10,0, затрагивающая версии вплоть до 7.8.3. Эта уязвимость позволяет злоумышленникам, в частности связанным с группой Storm-1175, известной как Medusa ransomware, обходить сигнатуру проверка и, возможно, выполнение удаленного кода посредством внедрения команд через десериализованные объекты. Действия по эксплуатации были отмечены Microsoft Threat Intelligence незадолго до раскрытия информации, что подчеркнуло текущие риски, связанные с этим недостатком.
-----

18 сентября 2025 года Fortra раскрыла критическую уязвимость десериализации в программном обеспечении GoAnywhere Managed File Transfer (MFT), идентифицированную как CVE-2025-10035, которая имеет максимальную оценку CVSS 10,0. Эта уязвимость затрагивает сервлет лицензирования GoAnywhere MFT версий до 7.8.3 и может позволить злоумышленникам использовать процесс десериализации. В частности, злоумышленник может обойти проверку подписи, используя поддельную подпись ответа на лицензию, что позволяет ему десериализовать произвольные объекты, контролируемые злоумышленником. Этот недостаток может привести к вводу команд и потенциальному удаленному выполнению кода (RCE).

Microsoft Threat Intelligence связала киберпреступную деятельность, связанную с этой уязвимостью, с группой, известной как Storm-1175. Эта группа признана за внедрение Medusa ransomware и известна тем, что использует общедоступные приложения для первоначального доступа. Доказательства эксплуатационной деятельности, приписываемой Storm-1175, были обнаружены 11 сентября 2025 года, что соответствует их известной тактике, методам и процедурам (TTP).

В ответ на обнаруженную уязвимость исследователи Microsoft Defender предприняли активные меры для защиты клиентов. Они усовершенствовали инструменты управления уязвимостями Microsoft, чтобы точно идентифицировать все устройства, затронутые CVE-2025-10035, в среде клиентов. Кроме того, был обновлен Microsoft Defender для Endpoint, чтобы улучшить возможности обнаружения и оповещения по всей цепочке атак, связанных с этой уязвимостью.

Несмотря на принятые меры оповещения и защиты, Корпорация Майкрософт также посоветовала пользователям Microsoft Defender XDR использовать отчеты аналитики угроз, доступные на портале Defender, для получения последней информации о Storm-1175, их вредоносных действиях и рекомендуемых действиях по устранению угроз. В частности, эта информация имеет решающее значение для организаций, чтобы усилить свою защиту от использования CVE-2025-10035 и эффективно управлять связанными с этим рисками.

#ParsedReport #CompletenessMedium
06-10-2025

Fake Microsoft Teams Installers Deliver Oyster Backdoor

https://socradar.io/fake-microsoft-teams-installers-oyster-backdoor/

Report completeness: Medium

Threats:
Oyster
Seo_poisoning_technique

Victims:
Companies, It managers, Microsoft teams users, Healthcare, Finance, Professional services

Industry:
Financial, Healthcare

TTPs:
Tactics: 1
Technics: 3

IOCs:
File: 1
Domain: 5
IP: 3
Hash: 9

Soft:
Microsoft Teams

Algorithms:
sha256, sha1, md5