#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
18 сентября 2025 года была обнаружена критическая уязвимость десериализации (CVE-2025-10035) в программном обеспечении Fortra's GoAnywhere MFT с оценкой CVSS 10,0, затрагивающая версии вплоть до 7.8.3. Эта уязвимость позволяет злоумышленникам, в частности связанным с группой Storm-1175, известной как Medusa ransomware, обходить сигнатуру проверка и, возможно, выполнение удаленного кода посредством внедрения команд через десериализованные объекты. Действия по эксплуатации были отмечены Microsoft Threat Intelligence незадолго до раскрытия информации, что подчеркнуло текущие риски, связанные с этим недостатком.
-----

18 сентября 2025 года Fortra раскрыла критическую уязвимость десериализации в программном обеспечении GoAnywhere Managed File Transfer (MFT), идентифицированную как CVE-2025-10035, которая имеет максимальную оценку CVSS 10,0. Эта уязвимость затрагивает сервлет лицензирования GoAnywhere MFT версий до 7.8.3 и может позволить злоумышленникам использовать процесс десериализации. В частности, злоумышленник может обойти проверку подписи, используя поддельную подпись ответа на лицензию, что позволяет ему десериализовать произвольные объекты, контролируемые злоумышленником. Этот недостаток может привести к вводу команд и потенциальному удаленному выполнению кода (RCE).

Microsoft Threat Intelligence связала киберпреступную деятельность, связанную с этой уязвимостью, с группой, известной как Storm-1175. Эта группа признана за внедрение Medusa ransomware и известна тем, что использует общедоступные приложения для первоначального доступа. Доказательства эксплуатационной деятельности, приписываемой Storm-1175, были обнаружены 11 сентября 2025 года, что соответствует их известной тактике, методам и процедурам (TTP).

В ответ на обнаруженную уязвимость исследователи Microsoft Defender предприняли активные меры для защиты клиентов. Они усовершенствовали инструменты управления уязвимостями Microsoft, чтобы точно идентифицировать все устройства, затронутые CVE-2025-10035, в среде клиентов. Кроме того, был обновлен Microsoft Defender для Endpoint, чтобы улучшить возможности обнаружения и оповещения по всей цепочке атак, связанных с этой уязвимостью.

Несмотря на принятые меры оповещения и защиты, Корпорация Майкрософт также посоветовала пользователям Microsoft Defender XDR использовать отчеты аналитики угроз, доступные на портале Defender, для получения последней информации о Storm-1175, их вредоносных действиях и рекомендуемых действиях по устранению угроз. В частности, эта информация имеет решающее значение для организаций, чтобы усилить свою защиту от использования CVE-2025-10035 и эффективно управлять связанными с этим рисками.

#ParsedReport #CompletenessMedium
06-10-2025

Fake Microsoft Teams Installers Deliver Oyster Backdoor

https://socradar.io/fake-microsoft-teams-installers-oyster-backdoor/

Report completeness: Medium

Threats:
Oyster
Seo_poisoning_technique

Victims:
Companies, It managers, Microsoft teams users, Healthcare, Finance, Professional services

Industry:
Financial, Healthcare

TTPs:
Tactics: 1
Technics: 3

IOCs:
File: 1
Domain: 5
IP: 3
Hash: 9

Soft:
Microsoft Teams

Algorithms:
sha256, sha1, md5

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние киберугрозы были связаны с поддельными установщиками Microsoft Teams, распространяемыми с помощью вредоносной рекламы и Отравления поисковой оптимизации(SEO), что приводит пользователей к поддельным веб-сайтам, где они загружают файлы, содержащие Backdoor. Oyster (Broomstick), который используется для использования в качестве бэкдора. Это стойкое вредоносное ПО обеспечивает злоумышленникам долгосрочный доступ, запуская вредоносный DLL-файл через rundll32.exe обработка и создание запланированных задач. Ключевые показатели компрометации включают домен "teams-install.icu" и конкретные хэши файлов, что указывает на значительный риск для организаций, особенно в таких секторах, как здравоохранение и финансы.
-----

Недавние киберугрозы, связанные с поддельными установщиками Microsoft Teams, продемонстрировали сохраняющуюся эффективность вредоносной рекламы и Отравления поисковой оптимизации (SEO) в качестве методов выполнения атак. Злоумышленники использовали измененный рейтинг в поисковых системах и вводящие в заблуждение ссылки для скачивания Microsoft Teams, приводя ничего не подозревающих пользователей на поддельные веб-сайты. Здесь они по незнанию загрузили установочные файлы, которые содержали Oyster (Broomstick) Backdoor. Этот бэкдор функционирует как стойкое вредоносное ПО, обеспечивая злоумышленникам долгосрочный доступ.

Процесс заражения инициируется пользователями, нажимающими на вводящие в заблуждение объявления и искажающие результаты поиска. После нажатия жертвы перенаправляются на мошеннические сайты, с которых они загружают установщики, которые кажутся законными, но содержат вредоносные компоненты. Бэкдор Oyster особенно примечателен своей способностью сохранять скрытность с помощью таких тактик, как создание запланированных задач. В частности, в нем используются следующие rundll32.exe процесс регулярного выполнения вредоносного DLL-файла, гарантирующий сохранение его функциональности даже после перезагрузки компьютера.

К целевым лицам в первую очередь относятся компании и ИТ-менеджеры, особенно в таких отраслях, как здравоохранение, финансы и профессиональные услуги. Глобальный характер этой кампании обусловлен ее опорой на широко используемые Поисковые системы, что делает широкую аудиторию уязвимой для атак. Ключевые показатели компрометации (IOCs), связанные с этой кампанией, включают домен "teams-install.icu", а также конкретные IP-адреса и хэши файлов, связанные с зараженными установщиками.

Чтобы усилить усилия по обнаружению и предотвращению, организациям рекомендуется отслеживать необычные действия rundll32, отслеживать новые запланированные задачи и тщательно проверять загрузки, происходящие из ненадежных источников. Внедрение строгого контроля за загрузкой программного обеспечения, ограничение доступа к официальным доменам поставщиков и информирование персонала о рисках, связанных с Вредоносной рекламой, являются важными мерами по смягчению этих угроз.

Предприятиям также следует включать аналитические каналы об угрозах, чтобы оставаться в курсе IOCS, использовать список разрешенных приложений для предотвращения попадания исполняемых файлов в папки, доступные для записи пользователем, и применять меры сетевой безопасности для блокировки известных вредоносных доменов и IP-адресов. Кампания подчеркивает необходимость постоянного мониторинга и оперативного реагирования на инциденты, чтобы быстро изолировать скомпрометированные конечные точки и предпринять шаги по устранению неполадок в случае заражения. Поскольку все больше злоумышленников используют надежные бренды и популярные приложения для распространения продвинутых угроз, таких как бэкдор Oyster, для организаций крайне важно сохранять бдительность в целях защиты конфиденциальных данных и ресурсов.

#ParsedReport #CompletenessLow
07-10-2025

Bifrost Burned: Dissecting Asgard Protectors Defenses

https://spycloud.com/blog/asgard-protector-crypter-analysis/

Report completeness: Low

Actors/Campaigns:
Shinyhunters

Threats:
Asgard_protector_tool
Adwind_rat
X2anylock
Lumma_stealer
Rhadamanthys
Cypherit
Acr_stealer
Quasar_rat
Vidar_stealer

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059, T1059.003, T1074.001, T1105, T1140, T1204.002

IOCs:
File: 3

Soft:
Telegram

Algorithms:
rc4, lznt1

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Asgard Protector - это шифровальщик вредоносного ПО, связанный с infostealer LummaC2, функционирующий через Telegram-бота для автоматической генерации заглушек вредоносного ПО. Заражение приводит к доставке двоичных файлов в виде самораспаковывающихся RAR-файлов со сценариями установки, которые выполняют модифицированный сценарий AutoIt, включающий автозапуск и протоколирование IP-адресов. Анализ более 1200 образцов выявил сложности в обнаружении из-за использования каталога %temp% для файловых операций, что затрудняет специалистам по кибербезопасности выявление связанных с ним вредоносных действий.
-----

Asgard Protector - это известный шифровальщик вредоносного ПО, связанный с infostealer LummaC2, который был тщательно проанализирован SpyCloud Labs. Он работает как сервис AUTOcrypt, функционирующий в основном через Telegram-бота, который облегчает автоматическую генерацию заглушек для отправки вредоносного ПО. Сервис, который рекламируется как минимум с 2023 года, предлагает различные настраиваемые функции, которые могут быть включены в зашифрованное вредоносное ПО.

После заражения Asgard Protector предоставляет свои двоичные файлы в виде установочных файлов Nullsoft, которые фактически представляют собой самораспаковывающиеся RAR-файлы, сопровождаемые установочными скриптами. В процессе установки скомпилированный сценарий AutoIt выполняется модифицированным двоичным файлом AutoIt. Этот скрипт важен тем, что он включает в себя дополнительные функциональные возможности, такие как возможности автозапуска и функции регистрации IP-адресов. Аналитики из SpyCloud Labs использовали такие инструменты, как autoit-ripper, для декомпиляции этого скрипта, раскрывая исходный код исходного кода, который дает представление о его рабочем поведении.

Статистика использования, полученная из более чем 1200 образцов зашифрованных двоичных файлов Asgard Protector, извлеченных из VirusTotal, была проанализирована, чтобы выявить распространенные семейства вредоносных ПО, которые используют этот шифровальщик. Этот анализ пытается прояснить ландшафт угроз, связанных с Asgard Protector, и предоставить полезный контекст для защитников в сфере кибербезопасности.

С точки зрения защиты, Asgard Protector демонстрирует поведение, которое усложняет усилия по обнаружению. Он помещает все свои рабочие файлы в каталог %temp% перед выполнением файла .bat через установочный двоичный файл Nullsoft для установки вредоносного ПО. Однако это конкретное поведение по своей сути не является аномальным и может не вызывать тревоги, учитывая, что многие легальные приложения также используют каталог %temp%. Следовательно, защитникам, возможно, потребуется внедрить более тонкие стратегии обнаружения, чтобы эффективно выявлять вредоносные действия, связанные с Asgard Protector.

Таким образом, Asgard Protector служит сложным инструментом в арсенале киберпреступников. Автоматизируя процесс шифрования и предоставляя ряд настраиваемых опций, это создает уникальную задачу для специалистов по кибербезопасности, которым поручено обнаруживать и нейтрализовывать угрозы вредоносного ПО. Модели поведения, наблюдаемые в ходе анализа, подчеркивают необходимость применения комплексных методов обнаружения, поскольку обычных методов может оказаться недостаточно для противодействия эволюционирующим стратегиям злоумышленников, использующих этот шифровальщик.

#ParsedReport #CompletenessLow
07-10-2025

0-day vulnerability exploited by Cl0p patched by Oracle

https://www.orangecyberdefense.com/global/blog/cert-news/0-day-vulnerability-exploited-by-cl0p-patched-by-oracle

Report completeness: Low

Actors/Campaigns:
Scattered_lapsus_hunters

Threats:
Clop

CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1210

IOCs:
IP: 2

Soft:
Telegram

Algorithms:
zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Критическая уязвимость zero-day, CVE-2025-61882, была использована Cl0p ransomware group с оценкой CVSS 9,8. Эта уязвимость позволяет удаленно выполнять код по сети без аутентификации, позволяя злоумышленникам выполнять произвольный код в уязвимых системах Oracle. Простота эксплуатации значительно повышает риск успешных атак.
-----

Недавно выявленная уязвимость zero-day, обозначенная как CVE-2025-61882, была использована Cl0p ransomware group. Эта уязвимость является критической и получила оценку CVSS в 9,8 баллов из 10, что указывает на серьезную угрозу безопасности. Серьезная проблема связана с его возможностью использования по сети без каких-либо требований к аутентификации, что означает, что злоумышленникам не нужны имя пользователя и пароль для запуска эксплойта.

Природа этой уязвимости обеспечивает удаленное выполнение кода, позволяя злоумышленникам выполнять произвольный код в уязвимых системах. Простота эксплуатации значительно повышает вероятность успешных атак, поэтому организациям, использующим продукты Oracle, крайне важно применить недавнее исправление, выпущенное Oracle, чтобы снизить риск, связанный с этим недостатком, и защитить свои системы от потенциального использования.

#ParsedReport #CompletenessLow
07-10-2025

TamperedChef: Malvertising to Credential Theft

https://labs.withsecure.com/publications/tamperedchef

Report completeness: Low

Threats:
Tamperedchef

Victims:
European organizations

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1105, T1189, T1204.002, T1555.003, T1583.001

IOCs:
Domain: 3
File: 5
Url: 1

Soft:
Electron, NuGet

Languages:
javascript

Platforms:
x64

Links:
have more...
https://github.com/WithSecureLabs/iocs/tree/master/TamperedChef

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания вредоносного ПО TamperedChef нацелена на европейские организации посредством Вредоносной рекламы, маскирующейся под PDF-редактор, чтобы облегчить кражу учетных данных. Жертвы неосознанно загружают установщик Microsoft, который начинает собирать учетные данные браузера с помощью полезной нагрузки JavaScript после кажущегося законным процесса установки. По мере усиления контроля злоумышленники обновили версии своих приложений и внедрили новый инструмент S3-Forge, что свидетельствует об их адаптивности и продолжающихся операциях по краже учетных данных.
-----

TamperedChef - это кампания вредоносного ПО, которая использует тактику Вредоносной рекламы для облегчения кражи учетных данных, нацеленная на европейские организации. Кампания умело маскируется под законное приложение для редактирования PDF-файлов, привлекая пользователей с помощью хорошо продуманной рекламной стратегии. При нажатии на вредоносную рекламу жертвы перенаправляются на страницу загрузки, управляемую злоумышленниками, где они непреднамеренно устанавливают пакет Microsoft Installer (MSI), Маскировку под законное приложение. Этот установщик имеет диалоговое окно принятия лицензионного соглашения, которое служит для повышения его легитимности и позволяет обойти некоторые автоматизированные меры безопасности, включая обнаружение в изолированной среде.

Истинная функциональность вредоносного ПО была запущена 21 августа 2025 года, когда оно начало собирать учетные данные браузера, используя встроенную полезную нагрузку, расположенную в файле JavaScript с именем pdfeditor.js . В ответ на обнаружение вредоносной активности злоумышленники быстро выпустили обновленные версии приложения, в частности 1.0.40 и 1.0.41, в которых был удален вредоносный код и обфускация. Однако эти версии по-прежнему поддерживали подключения к инфраструктуре злоумышленников, что по-прежнему создавало риски для пользователей.

В ходе расследования исследователи выявили родственное приложение под названием AppSuite Print, которое имеет схожие атрибуты с редактором PDF. Созданный и подписанный 20 мая 2025 года, этот вариант содержал запутанный JavaScript-файл с именем appsuite-print.js, но, похоже, злоумышленники отказались от него, вероятно, из-за отсутствия интереса к утилитам печати по сравнению с редактированием PDF.

Поскольку кампания TamperedChef столкнулась с повышенным вниманием и обнаружением, ее операторы быстро адаптировались и перешли к разработке нового приложения, получившего название S3-Forge. Этот сдвиг указывает на постоянные усилия злоумышленников по поддержанию своей операционной эффективности, несмотря на неблагоприятные реакции на их вредоносную деятельность.

Усилия по обнаружению TamperedChef реализуются с помощью продуктов безопасности, использующих как общие, так и специфические сигнатуры для выявления и смягчения угрозы. Эти меры имеют решающее значение, учитывая способность злоумышленников быстро разрабатывать свои стратегии и инструменты, чтобы избежать обнаружения и продолжить свои операции по краже учетных данных.

#ParsedReport #CompletenessMedium
07-10-2025

Executive Summary

https://www.cloudsek.com/blog/an-insider-look-at-the-irgc-linked-apt35-operations

Report completeness: Medium

Actors/Campaigns:
Charming_kitten (motivation: cyber_espionage)
Irgc (motivation: cyber_espionage)

Threats:
Supply_chain_technique
Bellaciao
Credential_harvesting_technique
Sqlmap_tool
Acunetix_tool
Rtm_locker
Nmap_tool
Nuclei_tool
Routerscan_tool
Routersploit_tool
Adminer
Smishing_technique
Wpscan_tool
Dll_hijacking_technique
Credential_dumping_technique

Victims:
Government, Legal, Academic, Aviation, Energy, Financial services, Education, Judicial systems, Water utility, Defense contractor relationships, have more...

Industry:
Government, E-commerce, Critical_infrastructure, Transport, Energy, Education, Financial, Aerospace

Geo:
Iran, Saudi arabia, Palestine, Turkey, Middle east, India, Israeli, Iranian, Tehran, Qatar, Singapore, Saudi, Jordan, Asia, Azerbaijan, Israel, Usa, Oman

CVEs:
CVE-2024-1709 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-1708 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2012-1823 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2019-18935 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-11317 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-3506 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 7
Technics: 0

IOCs:
Hash: 3

Soft:
Active Directory, MySQL, Burp Suite, Instagram, Telegram, Photoshop, cPanel, Starlink, ASP.NET, Twitter, have more...

Wallets:
atomicwallet, metamask

Crypto:
binance

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ просочившихся материалов иранской группы кибершпионажа Charming Kitten (APT35) раскрывает их сложные операционные возможности, включая использование таких уязвимостей, как CVE-2024-1709, и массовое манипулирование DNS. Группа использует такие тактики, как пользовательские трояны удаленного доступа, продвинутые кампании фишинга и SQL-инъекции, уделяя особое внимание долгосрочному доступу и эксфильтрации данных из целевых секторов, включая правительство и финансы на Ближнем Востоке, в США и Азии. Их методы организованного шпионажа подчеркивают значительную угрозу национальной безопасности, особенно со стороны акторов, связанных с КСИР.
-----

CloudSEK провела анализ того, что, по-видимому, является существенной утечкой оперативных материалов, связанных с иранской кибершпионажной группой Charming Kitten, также известной как APT35. Этот набор данных содержит внутренние документы на персидском языке с подробной информацией о персонале, используемых инструментах и отчетах о стратегических кампаниях. Примечательно, что материал указывает на способность группы быстро использовать уязвимости, в частности CVE-2024-1709, и участвовать в массовых манипуляциях с DNS маршрутизаторами. Целевые секторы охватывают государственную, юридическую, академическую, авиационную, энергетическую и финансовую сферы, преимущественно на Ближнем Востоке, но также распространяются на США и некоторые районы Азии. Описанные операционные методы предполагают сосредоточение внимания на долгосрочном закреплении в целевых сетях, использовании Active Directory и значительной эксфильтрации данных.

Мастерство, продемонстрированное APT35, демонстрирует внедрение пользовательских троянов удаленного доступа (RATs), методы обхода систем обнаружения конечных точек и реагирования (EDR), а также продвинутые попытки фишинга. Оперативные данные подчеркивают возможность организованного шпионажа, создающего повышенные риски для Цепочек поставок и национальной безопасности, особенно со стороны акторов, связанных с КСИР.

Временная шкала операций освещает кампании по внедрению SQL и использование конкретных уязвимостей сетевых устройств, что указывает на сложный подход к компрометации инфраструктуры. Акторы использовали различные тактики социальной инженерии, очевидные в их кампаниях по фишингу, в которых приоритетное внимание уделялось сбору учетных записей от целевых ближневосточных организаций, и все они отражали интересы, связанные с иранской разведкой.

Отдельные роли в группе включали разработку вредоносного ПО и управление социальной инженерией, при этом значительное количество часов было потрачено на проекты, связанные с пользовательскими RATS и сложными кампаниями фишинга в Социальных сетях. Один оператор специализировался на создании инфраструктуры для многоплатформенного фишинга, включая значительную работу с криптовалютными платежными системами и профилирование в Социальных сетях.

Другой оператор сосредоточил свое внимание на сложных целенаправленных угрозах, обеспечивая долгосрочный доступ и обширную эксфильтрацию данных из скомпрометированных доменов, демонстрируя широкие возможности по поддержанию операционной безопасности с помощью таких методов, как компрометация инфраструктуры резервного копирования и обход EDR.

Анализ подчеркивает структурированную методологию, используемую Charming Kitten, с тщательным планированием инфраструктуры, методами наблюдения и использованием различных инструментов для быстрой эксплуатации и сбора данных. Повсеместное влияние группы и региональные стратегии нацеливания, особенно в правовом и правительственном секторах, подчеркивают значительную и непосредственную угрозу, которую они представляют как государственные акторы кибершпионажа.

#ParsedReport #CompletenessMedium
07-10-2025

Shuyal Stealer: Advanced Infostealer Targeting 19 Browsers

https://www.pointwild.com/threat-intelligence/shuyal-stealer-advanced-infostealer-targeting-19-browsers

Report completeness: Medium

Threats:
Shuyal
Credential_harvesting_technique
Trojan.w64.100925.shuyal

Victims:
Browser users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1053.005, T1070.004, T1074.001, T1083, T1113, T1555.003, T1560

IOCs:
Hash: 2
File: 8
Url: 1
Path: 1

Soft:
Chrome, Discord, Telegram, Windows registry, Opera, Opera GX, Vivaldi, Chromium, Waterfox, Slimjet, have more...

Algorithms:
md5, sha256, zip

Win API:
TerminateProcess, CopyFileA, OpenClipboard, GetClipboardData, GdiplusStartup, BitBlt

Languages:
powershell