CTT Report Hub
#ParsedReport #CompletenessMedium 08-10-2025 The Evolution of Qilin RaaS https://www.sans.org/blog/evolution-qilin-raas Report completeness: Medium Actors/Campaigns: Qilin (motivation: cyber_criminal) Hastalamuerte Fin12 0ktapus Moonstone_sleet Stac4365…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Qilin Ransomware-as-a-Service (RaaS), переименованная из Agenda, использует партнерскую модель, позволяющую русскоязычным филиалам использовать ее инфраструктуру для обмена выкупами. Недавние действия включают кампанию фишинга, направленную против поставщика управляемых услуг, и запуск Arkana Security, которая утверждает, что скомпрометировала миллионы записей. Операции Qilin's демонстрируют эволюционирующую тактику, включая функцию "позвонить юристу" для филиалов, подчеркивающую сложную систему поддержки в рамках RaaS.
-----
Программа-вымогатель Qilin как услуга (RaaS) стала серьезной киберугрозой с момента своего появления в середине 2022 года. Первоначально действовавшая под названием Agenda ransomware, группа переименовалась в Qilin. Киберпреступники, стоящие за Qilin, говорят по-русски и используют партнерскую модель, при которой аффилированные лица могут получить доступ к инфраструктуре RaaS в обмен на долю выкупных платежей. Эта система включает в себя предоставление аффилированным лицам полезных программ-вымогателей, переговорных порталов и анонимного общения через сети Tor.
В июне 2022 года Microsoft выявила аффилированного с Agenda ransomware пользователя, известного как DEV-0237 или FIN12. Эта организация ранее была связана с несколькими другими значительными разновидностями программ-вымогателей, включая Nokoyawa, ALPHV/BlackCat, Hive, Conti и Ryuk. Взаимосвязанный характер операций RaaS очевиден, поскольку филиалы Qilin имеют различное происхождение, включая спонсируемых государством противников и организованные киберпреступные группировки.
Недавние события в экосистеме Qilin включают появление новой группы под названием Arkana Security в марте 2025 года. Arkana запустила сайт утечки данных, утверждающий, что скомпрометировала более 2 миллионов записей WideOpenWest, крупного американского интернет-провайдера. Связь между Arkana и Qilin была подчеркнута использованием ими общего логотипа на сайте Arkana's, что указывает на потенциальное сотрудничество или общие ресурсы в рамках сети RaaS.
Примечательной функцией, введенной Qilin в июне 2025 года, стала опция юридической помощи "вызов юриста" для аффилированных лиц. Предполагается, что эта услуга направлена на предоставление юридических консультаций, которые помогут киберпреступникам эффективно вести переговоры о вымогательстве, что означает эволюцию сложности и поддержки, предлагаемых в рамках операций RaaS.
В конце января 2025 года филиалы Qilin провели сложную кампанию фишинга, нацеленную на поставщика управляемых услуг (MSP), используя оповещения об аутентификации, связанные с инструментом удаленного управления ScreenConnect. Это стало значительным инцидентом с точки зрения атак на Цепочки поставок, приписываемых Qilin group.
Учреждения здравоохранения остаются важнейшей мишенью для филиалов Qilin, что соответствует исторической направленности FIN12 на атаки на больницы. Перспективы Qilin RaaS указывают на продолжающуюся эволюцию тактики, методов и процедур (TTP), что требует постоянного совершенствования систем обнаружения и устойчивости к угрозам программ-вымогателей. По мере адаптации киберпреступности организации должны сохранять бдительность в своей защите от таких динамичных и многогранных операций RaaS.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Qilin Ransomware-as-a-Service (RaaS), переименованная из Agenda, использует партнерскую модель, позволяющую русскоязычным филиалам использовать ее инфраструктуру для обмена выкупами. Недавние действия включают кампанию фишинга, направленную против поставщика управляемых услуг, и запуск Arkana Security, которая утверждает, что скомпрометировала миллионы записей. Операции Qilin's демонстрируют эволюционирующую тактику, включая функцию "позвонить юристу" для филиалов, подчеркивающую сложную систему поддержки в рамках RaaS.
-----
Программа-вымогатель Qilin как услуга (RaaS) стала серьезной киберугрозой с момента своего появления в середине 2022 года. Первоначально действовавшая под названием Agenda ransomware, группа переименовалась в Qilin. Киберпреступники, стоящие за Qilin, говорят по-русски и используют партнерскую модель, при которой аффилированные лица могут получить доступ к инфраструктуре RaaS в обмен на долю выкупных платежей. Эта система включает в себя предоставление аффилированным лицам полезных программ-вымогателей, переговорных порталов и анонимного общения через сети Tor.
В июне 2022 года Microsoft выявила аффилированного с Agenda ransomware пользователя, известного как DEV-0237 или FIN12. Эта организация ранее была связана с несколькими другими значительными разновидностями программ-вымогателей, включая Nokoyawa, ALPHV/BlackCat, Hive, Conti и Ryuk. Взаимосвязанный характер операций RaaS очевиден, поскольку филиалы Qilin имеют различное происхождение, включая спонсируемых государством противников и организованные киберпреступные группировки.
Недавние события в экосистеме Qilin включают появление новой группы под названием Arkana Security в марте 2025 года. Arkana запустила сайт утечки данных, утверждающий, что скомпрометировала более 2 миллионов записей WideOpenWest, крупного американского интернет-провайдера. Связь между Arkana и Qilin была подчеркнута использованием ими общего логотипа на сайте Arkana's, что указывает на потенциальное сотрудничество или общие ресурсы в рамках сети RaaS.
Примечательной функцией, введенной Qilin в июне 2025 года, стала опция юридической помощи "вызов юриста" для аффилированных лиц. Предполагается, что эта услуга направлена на предоставление юридических консультаций, которые помогут киберпреступникам эффективно вести переговоры о вымогательстве, что означает эволюцию сложности и поддержки, предлагаемых в рамках операций RaaS.
В конце января 2025 года филиалы Qilin провели сложную кампанию фишинга, нацеленную на поставщика управляемых услуг (MSP), используя оповещения об аутентификации, связанные с инструментом удаленного управления ScreenConnect. Это стало значительным инцидентом с точки зрения атак на Цепочки поставок, приписываемых Qilin group.
Учреждения здравоохранения остаются важнейшей мишенью для филиалов Qilin, что соответствует исторической направленности FIN12 на атаки на больницы. Перспективы Qilin RaaS указывают на продолжающуюся эволюцию тактики, методов и процедур (TTP), что требует постоянного совершенствования систем обнаружения и устойчивости к угрозам программ-вымогателей. По мере адаптации киберпреступности организации должны сохранять бдительность в своей защите от таких динамичных и многогранных операций RaaS.
#technique
pull_request_nightmare Part 1: Exploiting GitHub Actions for RCE and Supply Chain Attacks
https://orca.security/resources/blog/pull-request-nightmare-github-actions-rce/
pull_request_nightmare Part 2: Exploiting GitHub Actions for RCE and Supply Chain
https://orca.security/resources/blog/pull-request-nightmare-part-2-exploits/
pull_request_nightmare Part 1: Exploiting GitHub Actions for RCE and Supply Chain Attacks
https://orca.security/resources/blog/pull-request-nightmare-github-actions-rce/
pull_request_nightmare Part 2: Exploiting GitHub Actions for RCE and Supply Chain
https://orca.security/resources/blog/pull-request-nightmare-part-2-exploits/
Orca Security
pull_request_nightmare Part 1: Exploiting GitHub Actions for RCE and Supply Chain Attacks
Orca Research Pod details how misconfigured pull_request_target workflows in GitHub Actions can lead to RCE, secret exfiltration, and supply chain attacks.
#ParsedReport #CompletenessMedium
09-10-2025
APT Meets GPT: Targeted Operations with Untamed LLMs
https://www.volexity.com/blog/2025/10/08/apt-meets-gpt-targeted-operations-with-untamed-llms/
Report completeness: Medium
Actors/Campaigns:
Uta0388
Threats:
Spear-phishing_technique
Govershell
Healthkick
Victims:
Organizations
Geo:
Asia, America, Asian, China, Japanese, Taiwan, American, Chinese, Korea, French, German
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1053.005, T1059.001, T1071.001, T1204.002, T1566.002, T1574.001, T1583.001
IOCs:
File: 6
Url: 2
Command: 3
Path: 2
Domain: 7
Soft:
ChatGPT, OpenAI, ProtonMail, Outlook, Gmail, Tablacus, Microsoft Word
Algorithms:
bcrypt, base64, xor, aes, md5, zip
Functions:
Volexity
Languages:
golang, powershell
Links:
have more...
09-10-2025
APT Meets GPT: Targeted Operations with Untamed LLMs
https://www.volexity.com/blog/2025/10/08/apt-meets-gpt-targeted-operations-with-untamed-llms/
Report completeness: Medium
Actors/Campaigns:
Uta0388
Threats:
Spear-phishing_technique
Govershell
Healthkick
Victims:
Organizations
Geo:
Asia, America, Asian, China, Japanese, Taiwan, American, Chinese, Korea, French, German
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1053.005, T1059.001, T1071.001, T1204.002, T1566.002, T1574.001, T1583.001
IOCs:
File: 6
Url: 2
Command: 3
Path: 2
Domain: 7
Soft:
ChatGPT, OpenAI, ProtonMail, Outlook, Gmail, Tablacus, Microsoft Word
Algorithms:
bcrypt, base64, xor, aes, md5, zip
Functions:
Volexity
Languages:
golang, powershell
Links:
https://github.com/tablacus/TablacusExplorerhttps://github.com/python-openxml/python-docxhave more...
Volexity
APT Meets GPT: Targeted Operations with Untamed LLMs
Starting in June 2025, Volexity detected a series of spear phishing campaigns targeting several customers and their users in North America, Asia, and Europe. The initially observed campaigns were tailored to the targets, and the messages purported to be sent…
CTT Report Hub
#ParsedReport #CompletenessMedium 09-10-2025 APT Meets GPT: Targeted Operations with Untamed LLMs https://www.volexity.com/blog/2025/10/08/apt-meets-gpt-targeted-operations-with-untamed-llms/ Report completeness: Medium Actors/Campaigns: Uta0388 Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленник UTA0388, связанный с государственными интересами Китая, с июня 2025 года проводил кампании spear phishing, нацеленные на организации по всему миру, используя обманчивые электронные письма для распространения вредоносного ПО GOVERSHELL. Вредоносное ПО имеет пять вариантов с различными возможностями, включая обратную оболочку PowerShell, запланированные задачи для закрепления и функциональность для выполнения произвольных команд. Изощренная тактика UTA0388 включает в себя выдачу себя за вымышленных лиц на нескольких языках, что указывает на стратегическую направленность на геополитические проблемы, особенно вокруг Тайваня.
-----
UTA0388, предположительно связанная с государственными интересами Китая, инициировала целенаправленные кампании по spear phishing, начиная с июня 2025 года. Кампании включали вводящие в заблуждение электронные письма, имитирующие сообщения вымышленных старших исследователей, что приводило к загрузке вредоносных полезных файлов из удаленных архивов. Тактика включала электронные письма в формате HTML с изображениями, напоминающими вложения в документы; нажатие на них запускало загрузку исполняемых файлов из вредоносных архивов.
Было идентифицировано пять вариантов вредоносного ПО GOVERSHELL, каждый из которых обладает уникальным поведением при общении и функциональными возможностями. Вредоносное ПО использует запланированную задачу для закрепления и выполняет произвольные команды на скомпрометированных системах. Все варианты, кроме первого, реализованы в виде DLL-файлов, захваченных из доброкачественного программного обеспечения Tablacus Explorer.
Первый вариант GOVERSHELL проверяет наличие аргументов командной строки; если они отсутствуют, он устанавливает закрепление и выполняет задачи каждые пять минут. Второй вариант использует обратную оболочку PowerShell, в то время как третий позволяет выполнять несколько собственных и динамических команд. Четвертый вариант поддерживает выполнение команд через WebSocket, но реализован лишь частично. Пятый вариант расширяет возможности выполнения команд PowerShell и добавляет параметры дрожания и спящего режима для запутывания связи C2.
Некоторые образцы GOVERSHELL содержали названия папок на упрощенном китайском языке, что указывало на участие нескольких систем в его разработке. Методы связи перешли от прямых IP-адресов к зарегистрированным DNS-доменам по мере развития архитектуры вредоносного ПО.
Попытки фишинга со стороны UTA0388 включали Имперсонацию нескольких вымышленных лиц и использование нескольких языков, демонстрируя высокое владение языками. Некоторые файлы в архивах для фишинга служили приманками, в то время как другие содержали метаданные, раскрывающие связи с большими языковыми моделями (LLM).
Деятельность UTA0388 отражает стратегическое использование уязвимостей с помощью социальной инженерии и сложного вредоносного ПО с акцентом на геополитические проблемы, связанные с Тайванем, что подтверждается техническими доказательствами упрощенного использования в Китае и зависимости от LLMS.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленник UTA0388, связанный с государственными интересами Китая, с июня 2025 года проводил кампании spear phishing, нацеленные на организации по всему миру, используя обманчивые электронные письма для распространения вредоносного ПО GOVERSHELL. Вредоносное ПО имеет пять вариантов с различными возможностями, включая обратную оболочку PowerShell, запланированные задачи для закрепления и функциональность для выполнения произвольных команд. Изощренная тактика UTA0388 включает в себя выдачу себя за вымышленных лиц на нескольких языках, что указывает на стратегическую направленность на геополитические проблемы, особенно вокруг Тайваня.
-----
UTA0388, предположительно связанная с государственными интересами Китая, инициировала целенаправленные кампании по spear phishing, начиная с июня 2025 года. Кампании включали вводящие в заблуждение электронные письма, имитирующие сообщения вымышленных старших исследователей, что приводило к загрузке вредоносных полезных файлов из удаленных архивов. Тактика включала электронные письма в формате HTML с изображениями, напоминающими вложения в документы; нажатие на них запускало загрузку исполняемых файлов из вредоносных архивов.
Было идентифицировано пять вариантов вредоносного ПО GOVERSHELL, каждый из которых обладает уникальным поведением при общении и функциональными возможностями. Вредоносное ПО использует запланированную задачу для закрепления и выполняет произвольные команды на скомпрометированных системах. Все варианты, кроме первого, реализованы в виде DLL-файлов, захваченных из доброкачественного программного обеспечения Tablacus Explorer.
Первый вариант GOVERSHELL проверяет наличие аргументов командной строки; если они отсутствуют, он устанавливает закрепление и выполняет задачи каждые пять минут. Второй вариант использует обратную оболочку PowerShell, в то время как третий позволяет выполнять несколько собственных и динамических команд. Четвертый вариант поддерживает выполнение команд через WebSocket, но реализован лишь частично. Пятый вариант расширяет возможности выполнения команд PowerShell и добавляет параметры дрожания и спящего режима для запутывания связи C2.
Некоторые образцы GOVERSHELL содержали названия папок на упрощенном китайском языке, что указывало на участие нескольких систем в его разработке. Методы связи перешли от прямых IP-адресов к зарегистрированным DNS-доменам по мере развития архитектуры вредоносного ПО.
Попытки фишинга со стороны UTA0388 включали Имперсонацию нескольких вымышленных лиц и использование нескольких языков, демонстрируя высокое владение языками. Некоторые файлы в архивах для фишинга служили приманками, в то время как другие содержали метаданные, раскрывающие связи с большими языковыми моделями (LLM).
Деятельность UTA0388 отражает стратегическое использование уязвимостей с помощью социальной инженерии и сложного вредоносного ПО с акцентом на геополитические проблемы, связанные с Тайванем, что подтверждается техническими доказательствами упрощенного использования в Китае и зависимости от LLMS.
#ParsedReport #CompletenessMedium
09-10-2025
Disrupting malicious uses of AI: an update
https://cdn.openai.com/threat-intelligence-reports/7d662b68-952f-4dfd-a2f2-fe55b041cc4a/disrupting-malicious-uses-of-ai-october-2025.pdf
Report completeness: Medium
Actors/Campaigns:
Uta0388
Threats:
Spear-phishing_technique
Xenorat
Govershell
Nuclei_tool
Victims:
Social media platforms, News media, Advertising
Industry:
Logistic, Government, Education, Semiconductor_industry
Geo:
Africa, China, Latin america, Cambodia, French, Korean, North korean, Russia, Mongolia, America, France, Dprk, Japanese, Chinese, Hong kong, Tibetan, Vietnam, Taiwan, Myanmar, Asia, North korea, Ukraine, Philippine, Nigeria, Philippines
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1585.001, T1587.001, T1593.001
IOCs:
File: 6
Domain: 1
Path: 1
Soft:
OpenAI, ChatGPT, DeepSeek, Chrome, macOS, Linux, WhatsApp, Twitter, Instagram, TikTok, have more...
Algorithms:
aes, aes-gcm
Functions:
StandardScaler, LogisticRegression
Languages:
python, powershell
Platforms:
apple
09-10-2025
Disrupting malicious uses of AI: an update
https://cdn.openai.com/threat-intelligence-reports/7d662b68-952f-4dfd-a2f2-fe55b041cc4a/disrupting-malicious-uses-of-ai-october-2025.pdf
Report completeness: Medium
Actors/Campaigns:
Uta0388
Threats:
Spear-phishing_technique
Xenorat
Govershell
Nuclei_tool
Victims:
Social media platforms, News media, Advertising
Industry:
Logistic, Government, Education, Semiconductor_industry
Geo:
Africa, China, Latin america, Cambodia, French, Korean, North korean, Russia, Mongolia, America, France, Dprk, Japanese, Chinese, Hong kong, Tibetan, Vietnam, Taiwan, Myanmar, Asia, North korea, Ukraine, Philippine, Nigeria, Philippines
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1585.001, T1587.001, T1593.001
IOCs:
File: 6
Domain: 1
Path: 1
Soft:
OpenAI, ChatGPT, DeepSeek, Chrome, macOS, Linux, WhatsApp, Twitter, Instagram, TikTok, have more...
Algorithms:
aes, aes-gcm
Functions:
StandardScaler, LogisticRegression
Languages:
python, powershell
Platforms:
apple
CTT Report Hub
#ParsedReport #CompletenessMedium 09-10-2025 Disrupting malicious uses of AI: an update https://cdn.openai.com/threat-intelligence-reports/7d662b68-952f-4dfd-a2f2-fe55b041cc4a/disrupting-malicious-uses-of-ai-october-2025.pdf Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В отчете описываются растущие риски, связанные со злонамеренным применением искусственного интеллекта в области кибербезопасности и дезинформации, включая создание глубоких подделок и инструментов для слежки за Социальными сетями. Примечательно, что примеры включают разработку контента, управляемого искусственным интеллектом, на различных языках в пропагандистских целях, направленного на то, чтобы повлиять на повествования, связанные с геополитическими событиями. Такие методологии, как линейная регрессия и методы опорных векторов, выделяются как актуальные при злонамеренном проектировании действий, генерируемых искусственным интеллектом, что указывает на необходимость усовершенствованных алгоритмов обнаружения.
-----
В отчете подчеркивается растущие риски, связанные со злонамеренным использованием технологий Искусственного интеллекта (ИИ), особенно в контексте кибербезопасности и дезинформации. Текущие усилия по смягчению этих угроз сосредоточены на нескольких технических решениях. Разработка усовершенствованных алгоритмов обнаружения направлена на выявление и маркировку контента, созданного искусственным интеллектом, такого как глубокие подделки, в то время как усовершенствование протоколов кибербезопасности направлено на защиту от атак, управляемых искусственным интеллектом.
Что касается политики, то особое внимание уделяется принятию законодателями специального законодательства, направленного против неправомерного использования технологий искусственного интеллекта. Кроме того, развитие международного сотрудничества считается необходимым для установления норм и стандартов, регулирующих использование искусственного интеллекта. Этот многогранный подход подчеркивает необходимость постоянных инноваций и бдительности, чтобы противостоять потенциальным угрозам, исходящим от приложений искусственного интеллекта.
Выявленной ключевой областью, вызывающей озабоченность, является использование инструментов искусственного интеллекта, особенно в мониторинге Социальных сетей. Были отмечены случаи, когда отдельные лица пытались использовать платформы, подобные ChatGPT, для разработки инструментов широкомасштабного наблюдения, анализируя данные из источников Социальной сети. Один из выделенных случаев касался разработки инструмента прослушивания Социальных сетей на базе искусственного интеллекта, предположительно предназначенного для использования китайскими силами безопасности. Пользователи в первую очередь просили помощи в разработке этих инструментов, а не в их непосредственном внедрении, что указывает на стратегический подход к использованию возможностей искусственного интеллекта.
Кроме того, в отчете были задокументированы сложные операции, в ходе которых операторы создавали контент с использованием моделей искусственного интеллекта на разных языках — сначала создавали русскоязычные видеосценарии, а затем разбивали их на фрагменты для видео-подсказок. Этот контент варьировался от критики действий Запада в Африке на французском языке до англоязычных материалов, направленных на подрыв поддержки Украины. Иногда такие материалы визуально подкреплялись изображениями, созданными с помощью искусственного интеллекта, для повышения достоверности пропаганды. Операторы придали легитимность своему бренду "Newstop Africa", объединив рекламные материалы с контентом, связанным с известными новостными изданиями.
С точки зрения машинного обучения, такие методологии, как линейная регрессия, логистическая регрессия и метод опорных векторов (SVM), были отмечены как распространенные инструменты обучения под наблюдением, используемые в различных задачах прогнозирования и классификации. Эта ссылка предполагает, что знание этих методов необходимо для понимания технологии, лежащей в основе вредоносных действий, генерируемых искусственным интеллектом.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В отчете описываются растущие риски, связанные со злонамеренным применением искусственного интеллекта в области кибербезопасности и дезинформации, включая создание глубоких подделок и инструментов для слежки за Социальными сетями. Примечательно, что примеры включают разработку контента, управляемого искусственным интеллектом, на различных языках в пропагандистских целях, направленного на то, чтобы повлиять на повествования, связанные с геополитическими событиями. Такие методологии, как линейная регрессия и методы опорных векторов, выделяются как актуальные при злонамеренном проектировании действий, генерируемых искусственным интеллектом, что указывает на необходимость усовершенствованных алгоритмов обнаружения.
-----
В отчете подчеркивается растущие риски, связанные со злонамеренным использованием технологий Искусственного интеллекта (ИИ), особенно в контексте кибербезопасности и дезинформации. Текущие усилия по смягчению этих угроз сосредоточены на нескольких технических решениях. Разработка усовершенствованных алгоритмов обнаружения направлена на выявление и маркировку контента, созданного искусственным интеллектом, такого как глубокие подделки, в то время как усовершенствование протоколов кибербезопасности направлено на защиту от атак, управляемых искусственным интеллектом.
Что касается политики, то особое внимание уделяется принятию законодателями специального законодательства, направленного против неправомерного использования технологий искусственного интеллекта. Кроме того, развитие международного сотрудничества считается необходимым для установления норм и стандартов, регулирующих использование искусственного интеллекта. Этот многогранный подход подчеркивает необходимость постоянных инноваций и бдительности, чтобы противостоять потенциальным угрозам, исходящим от приложений искусственного интеллекта.
Выявленной ключевой областью, вызывающей озабоченность, является использование инструментов искусственного интеллекта, особенно в мониторинге Социальных сетей. Были отмечены случаи, когда отдельные лица пытались использовать платформы, подобные ChatGPT, для разработки инструментов широкомасштабного наблюдения, анализируя данные из источников Социальной сети. Один из выделенных случаев касался разработки инструмента прослушивания Социальных сетей на базе искусственного интеллекта, предположительно предназначенного для использования китайскими силами безопасности. Пользователи в первую очередь просили помощи в разработке этих инструментов, а не в их непосредственном внедрении, что указывает на стратегический подход к использованию возможностей искусственного интеллекта.
Кроме того, в отчете были задокументированы сложные операции, в ходе которых операторы создавали контент с использованием моделей искусственного интеллекта на разных языках — сначала создавали русскоязычные видеосценарии, а затем разбивали их на фрагменты для видео-подсказок. Этот контент варьировался от критики действий Запада в Африке на французском языке до англоязычных материалов, направленных на подрыв поддержки Украины. Иногда такие материалы визуально подкреплялись изображениями, созданными с помощью искусственного интеллекта, для повышения достоверности пропаганды. Операторы придали легитимность своему бренду "Newstop Africa", объединив рекламные материалы с контентом, связанным с известными новостными изданиями.
С точки зрения машинного обучения, такие методологии, как линейная регрессия, логистическая регрессия и метод опорных векторов (SVM), были отмечены как распространенные инструменты обучения под наблюдением, используемые в различных задачах прогнозирования и классификации. Эта ссылка предполагает, что знание этих методов необходимо для понимания технологии, лежащей в основе вредоносных действий, генерируемых искусственным интеллектом.
#ParsedReport #CompletenessMedium
09-10-2025
Inside a Crypto Scam Nexus
https://dti.domaintools.com/inside-a-crypto-scam-nexus/
Report completeness: Medium
Victims:
Cryptocurrency users, Mobile users, Iphone users
Industry:
E-commerce, Financial, Entertainment, Healthcare
Geo:
Asia, Chinese
ChatGPT TTPs:
T1185, T1204.002, T1566, T1583.001, T1583.003
IOCs:
Domain: 16
IP: 2
File: 4
Url: 2
Hash: 1
Soft:
Chrome, Telegram, Android, Google Play, TikTok
Crypto:
binance
Algorithms:
sha256, base64
Functions:
setApprovalForAll
Languages:
javascript
Platforms:
apple
09-10-2025
Inside a Crypto Scam Nexus
https://dti.domaintools.com/inside-a-crypto-scam-nexus/
Report completeness: Medium
Victims:
Cryptocurrency users, Mobile users, Iphone users
Industry:
E-commerce, Financial, Entertainment, Healthcare
Geo:
Asia, Chinese
ChatGPT TTPs:
do not use without manual checkT1185, T1204.002, T1566, T1583.001, T1583.003
IOCs:
Domain: 16
IP: 2
File: 4
Url: 2
Hash: 1
Soft:
Chrome, Telegram, Android, Google Play, TikTok
Crypto:
binance
Algorithms:
sha256, base64
Functions:
setApprovalForAll
Languages:
javascript
Platforms:
apple
DomainTools Investigations | DTI
Inside a Crypto Scam Nexus - DomainTools Investigations | DTI
A massive crypto wallet-drain conspiracy links fake trading sites to a single criminal IP address. See our investigative deep dive into how these orchestrated scams are draining user funds.
CTT Report Hub
#ParsedReport #CompletenessMedium 09-10-2025 Inside a Crypto Scam Nexus https://dti.domaintools.com/inside-a-crypto-scam-nexus/ Report completeness: Medium Victims: Cryptocurrency users, Mobile users, Iphone users Industry: E-commerce, Financial, Entertainment…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберпреступники осуществляют скоординированную схему "утечки" криптовалютных кошельков, используя сеть мошеннических веб-сайтов, расширений для браузера и мобильных приложений, в основном сосредоточенных вокруг IP-адреса 8.221.100.222. Задействованные ключевые области включают medaigenesis.cc , novacrypt.net , и zzztd.com , которые используют такие тактики, как мобильный фишинг и обманчивые приложения для кражи криптовалюты. Операция подчеркивает сложную инфраструктуру, которая нацелена на пользователей с помощью эксплуатации доверия и передовых технических механизмов, иллюстрируя сложность современных мошенничеств с криптовалютами.
-----
Киберпреступники разработали согласованную схему "утечки" криптовалютных кошельков, используя сеть вредоносных веб-сайтов и приложений, направленных на кражу криптовалюты у ничего не подозревающих пользователей. Эта операция включает в себя мошеннические расширения для браузера, тактику мобильного фишинга и фиктивные торговые платформы, все это организовано из общей инфраструктуры, связанной с IP-адресом 8.221.100.222. Компоненты операции включают в себя несколько конкретных доменов, таких как medaigenesis.cc , novacrypt.net , и zzztd.com , что указывает на хорошо скоординированные усилия злоумышленников. Последние изменения в записи A для novacrypt.net предполагают, что злоумышленники, возможно, либо перенесли свою инфраструктуру, либо что домен был отключен по состоянию на 25 сентября.
Одним из ключевых игроков в этой афере является medaigenesis.cc , которая маскируется под передовую инициативу в области здравоохранения, включающую технологию блокчейн и Искусственный интеллект. Используя привлекательные концепции, такие как AI 5.0 и NFT, связанные со здоровьем, этот сайт стремится завоевать доверие потенциальных жертв, выполняя свою вредоносную программу по опустошению криптовалютных кошельков.
Злоумышленники также нацеливаются непосредственно на мобильных пользователей посредством злонамеренного использования профилей конфигурации Apple. "Приложение" Novacrypt служит обманчивым инструментом, заманивающим пользователей iPhone к установке того, что кажется законным торговым приложением. Вместо этого он устанавливает веб-клип, который преобразуется в страницу фишинга, позволяя злоумышленникам получать учетные данные жертв для обмена криптовалютами.
Кроме того, в zzztd.com домен позиционирует себя как платформа для торговли криптовалютами. Однако его базовый код выявляет потенциально вредоносные скрипты, предназначенные для эксфильтрации данных или внедрения вредоносного ПО на устройства жертв.
Общий IP—адрес 8.221.100.222, отследенный до облачного сервера Alibaba в Азии, содержит множество мошеннических доменов, что указывает на то, что эти мошенничества не изолированы, а являются частью более широкой сети обмана. Они используют доверие на различных платформах, включая браузерные дополнения и мобильные приложения, иллюстрируя разнообразные технические подходы, используемые современными злоумышленниками в сфере кражи криптовалют. Эта операция подчеркивает изощренность злоумышленников в создании сложных сетей, которые эффективно обманывают пользователей, одновременно используя консолидированную инфраструктуру для одновременного проведения нескольких мошеннических операций.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберпреступники осуществляют скоординированную схему "утечки" криптовалютных кошельков, используя сеть мошеннических веб-сайтов, расширений для браузера и мобильных приложений, в основном сосредоточенных вокруг IP-адреса 8.221.100.222. Задействованные ключевые области включают medaigenesis.cc , novacrypt.net , и zzztd.com , которые используют такие тактики, как мобильный фишинг и обманчивые приложения для кражи криптовалюты. Операция подчеркивает сложную инфраструктуру, которая нацелена на пользователей с помощью эксплуатации доверия и передовых технических механизмов, иллюстрируя сложность современных мошенничеств с криптовалютами.
-----
Киберпреступники разработали согласованную схему "утечки" криптовалютных кошельков, используя сеть вредоносных веб-сайтов и приложений, направленных на кражу криптовалюты у ничего не подозревающих пользователей. Эта операция включает в себя мошеннические расширения для браузера, тактику мобильного фишинга и фиктивные торговые платформы, все это организовано из общей инфраструктуры, связанной с IP-адресом 8.221.100.222. Компоненты операции включают в себя несколько конкретных доменов, таких как medaigenesis.cc , novacrypt.net , и zzztd.com , что указывает на хорошо скоординированные усилия злоумышленников. Последние изменения в записи A для novacrypt.net предполагают, что злоумышленники, возможно, либо перенесли свою инфраструктуру, либо что домен был отключен по состоянию на 25 сентября.
Одним из ключевых игроков в этой афере является medaigenesis.cc , которая маскируется под передовую инициативу в области здравоохранения, включающую технологию блокчейн и Искусственный интеллект. Используя привлекательные концепции, такие как AI 5.0 и NFT, связанные со здоровьем, этот сайт стремится завоевать доверие потенциальных жертв, выполняя свою вредоносную программу по опустошению криптовалютных кошельков.
Злоумышленники также нацеливаются непосредственно на мобильных пользователей посредством злонамеренного использования профилей конфигурации Apple. "Приложение" Novacrypt служит обманчивым инструментом, заманивающим пользователей iPhone к установке того, что кажется законным торговым приложением. Вместо этого он устанавливает веб-клип, который преобразуется в страницу фишинга, позволяя злоумышленникам получать учетные данные жертв для обмена криптовалютами.
Кроме того, в zzztd.com домен позиционирует себя как платформа для торговли криптовалютами. Однако его базовый код выявляет потенциально вредоносные скрипты, предназначенные для эксфильтрации данных или внедрения вредоносного ПО на устройства жертв.
Общий IP—адрес 8.221.100.222, отследенный до облачного сервера Alibaba в Азии, содержит множество мошеннических доменов, что указывает на то, что эти мошенничества не изолированы, а являются частью более широкой сети обмана. Они используют доверие на различных платформах, включая браузерные дополнения и мобильные приложения, иллюстрируя разнообразные технические подходы, используемые современными злоумышленниками в сфере кражи криптовалют. Эта операция подчеркивает изощренность злоумышленников в создании сложных сетей, которые эффективно обманывают пользователей, одновременно используя консолидированную инфраструктуру для одновременного проведения нескольких мошеннических операций.
#ParsedReport #CompletenessMedium
09-10-2025
Anatomy of a Hacktivist Attack: Russian-Aligned Group Targets OT/ICS
https://www.forescout.com/blog/anatomy-of-a-hacktivist-attack-russian-aligned-group-targets-otics/
Report completeness: Medium
Actors/Campaigns:
Twonet (motivation: hacktivism)
Cybertroops (motivation: hacktivism)
Overflame (motivation: hacktivism)
Dark_warios
Cyberav3nger
Z-pentest_alliance (motivation: hacktivism)
Moroccan_dragons
Golden_falcon
Z-pentest
Dark_storm_team
Red_wolf
Perun_swaroga
Rootskad
Threats:
Megamedusa_tool
Hack-for-hire_technique
Metasploit_tool
Victims:
Water treatment sector, Government, Research, Hydroelectric facility
Industry:
Government, Iot, Telco, Ics, Critical_infrastructure, Healthcare
Geo:
France, Ukraine, Poland, Moldova, Iran, Spain, Indonesia, Norway, Russia, German, Slovakia, Lithuania, Czechia, Iranian, Ukrainian, Italy, Deutsche, Finland, Spanish, French, Russian, Italian
CVEs:
CVE-2021-26828 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-26829 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 2
Technics: 17
IOCs:
IP: 11
File: 27
Soft:
Twitter, Telegram, Linux, Firefox
Languages:
java
Links:
have more...
09-10-2025
Anatomy of a Hacktivist Attack: Russian-Aligned Group Targets OT/ICS
https://www.forescout.com/blog/anatomy-of-a-hacktivist-attack-russian-aligned-group-targets-otics/
Report completeness: Medium
Actors/Campaigns:
Twonet (motivation: hacktivism)
Cybertroops (motivation: hacktivism)
Overflame (motivation: hacktivism)
Dark_warios
Cyberav3nger
Z-pentest_alliance (motivation: hacktivism)
Moroccan_dragons
Golden_falcon
Z-pentest
Dark_storm_team
Red_wolf
Perun_swaroga
Rootskad
Threats:
Megamedusa_tool
Hack-for-hire_technique
Metasploit_tool
Victims:
Water treatment sector, Government, Research, Hydroelectric facility
Industry:
Government, Iot, Telco, Ics, Critical_infrastructure, Healthcare
Geo:
France, Ukraine, Poland, Moldova, Iran, Spain, Indonesia, Norway, Russia, German, Slovakia, Lithuania, Czechia, Iranian, Ukrainian, Italy, Deutsche, Finland, Spanish, French, Russian, Italian
CVEs:
CVE-2021-26828 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2021-26829 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 2
Technics: 17
IOCs:
IP: 11
File: 27
Soft:
Twitter, Telegram, Linux, Firefox
Languages:
java
Links:
https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/scanner/scada/modbus\_findunitid.rbhave more...
https://github.com/hev0x/CVE-2021-26828\_ScadaBR\_RCE/blob/main/WinScada\_RCE.pyForescout
Anatomy of a Hacktivist Attack: Russia-Aligned Group Targets OT/ICS
How do hacktivist groups attack utilities? Vedere Labs research uncovers the techniques of a Russian group’s attempt on a decoy water facility.
CTT Report Hub
#ParsedReport #CompletenessMedium 09-10-2025 Anatomy of a Hacktivist Attack: Russian-Aligned Group Targets OT/ICS https://www.forescout.com/blog/anatomy-of-a-hacktivist-attack-russian-aligned-group-targets-otics/ Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В сентябре 2025 года связанная с Россией хактивистская группа TwoNet атаковала поддельную установку для очистки воды, скомпрометировав человеко-машинный интерфейс (HMI) и вызвав дефейс и нарушение технологического процесса. Эта атака, являющаяся частью скоординированных усилий с такими группами, как V-CyberTroops, сигнализирует о новом уровне угрозы операционным технологиям (OT) и промышленным системам управления (ICS) с использованием таких методов, как DDoS с вредоносным ПО MegaMedusa. Кроме того, в атаках, связанных с иранскими источниками, использовались такие протоколы, как Modbus, что указывает на ручную оркестровку, подчеркивая тревожную тенденцию к изощренным и целенаправленным атакам на критически важную инфраструктуру.
-----
В сентябре 2025 года связанная с Россией хактивистская группа TwoNet атаковала поддельное водоочистное сооружение, успешно получив доступ к человеко-машинному интерфейсу (HMI) для совершения действий по дефейсу и нарушению технологического процесса. Эта атака, значительная, поскольку о ней публично заявил TwoNet вскоре после появления группы в Telegram, представляет собой новый уровень угрозы на арене хактивистов, особенно в отношении операционных технологий (OT) и промышленных систем управления (ICS).
Отмечается, что TwoNet начала свою деятельность в начале 2025 года, в основном используя методы DDoS-атак с использованием вредоносного ПО для компьютеров MegaMedusa. Его участие знаменует тенденцию сотрудничества между группами хактивистов, о чем свидетельствует его альянс с другими организациями, такими как V-CyberTroops, сосредоточенный на скоординированных атаках на различные объекты в Европе и бывшем СНГ. Более того, были подтверждены случаи DDoS-атак на критически важные объекты инфраструктуры в странах, поддерживающих Украину, с заявлениями о нанесении ущерба таким объектам, как гидроэлектростанция во Франции.
Одновременно были замечены дополнительные атаки, связанные с иранскими источниками, использующими протокол Modbus, что указывает на межнациональную синергию в атаках на ПЛК. В этих атаках использовались такие инструменты, как Metasploit, с разведкой, нацеленной на конкретные функции и особенности ПЛК, демонстрируя острую осведомленность о протоколах OT. Схема действий, демонстрируемая этими злоумышленниками, подразумевает ручную организацию, о чем свидетельствуют различия в IP-адресах и параметрах атаки, что отличается от поведения при автоматическом сканировании.
Связанные с Россией IP-адреса известных хостинговых служб способствовали атакам на HMI, усиливая опасения, учитывая их связи с различными инструментами и сервисами, обычно ассоциируемыми с российскими кибероперациями. Используемые стратегии, такие как использование нескольких протоколов — Modbus, HTTP, S7 — указывают на растущую изощренность и намерение этих злоумышленников систематически компрометировать уязвимые среды OT и ICS.
Общая оценка подчеркивает растущую частоту и амбициозность хактивистских кампаний, нацеленных на важнейшую инфраструктуру, и необходимость в надежных защитных механизмах. Чтобы смягчить последствия таких атак, организациям рекомендуется устранить слабые методы аутентификации, защитить устройства от общедоступного доступа в Интернет и внедрить строгую сегментацию сети. Кроме того, ужесточение административных интерфейсов, применение надежных уникальных учетных данных и развертывание систем обнаружения с учетом протоколов могут усилить защиту от этих возникающих угроз. Мониторинг необычного трафика и потенциальной эксплуатации остается критически важным, особенно с устройств, которые могут быть перепрофилированы в сценариях распределенного отказа в обслуживании (DDoS).
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В сентябре 2025 года связанная с Россией хактивистская группа TwoNet атаковала поддельную установку для очистки воды, скомпрометировав человеко-машинный интерфейс (HMI) и вызвав дефейс и нарушение технологического процесса. Эта атака, являющаяся частью скоординированных усилий с такими группами, как V-CyberTroops, сигнализирует о новом уровне угрозы операционным технологиям (OT) и промышленным системам управления (ICS) с использованием таких методов, как DDoS с вредоносным ПО MegaMedusa. Кроме того, в атаках, связанных с иранскими источниками, использовались такие протоколы, как Modbus, что указывает на ручную оркестровку, подчеркивая тревожную тенденцию к изощренным и целенаправленным атакам на критически важную инфраструктуру.
-----
В сентябре 2025 года связанная с Россией хактивистская группа TwoNet атаковала поддельное водоочистное сооружение, успешно получив доступ к человеко-машинному интерфейсу (HMI) для совершения действий по дефейсу и нарушению технологического процесса. Эта атака, значительная, поскольку о ней публично заявил TwoNet вскоре после появления группы в Telegram, представляет собой новый уровень угрозы на арене хактивистов, особенно в отношении операционных технологий (OT) и промышленных систем управления (ICS).
Отмечается, что TwoNet начала свою деятельность в начале 2025 года, в основном используя методы DDoS-атак с использованием вредоносного ПО для компьютеров MegaMedusa. Его участие знаменует тенденцию сотрудничества между группами хактивистов, о чем свидетельствует его альянс с другими организациями, такими как V-CyberTroops, сосредоточенный на скоординированных атаках на различные объекты в Европе и бывшем СНГ. Более того, были подтверждены случаи DDoS-атак на критически важные объекты инфраструктуры в странах, поддерживающих Украину, с заявлениями о нанесении ущерба таким объектам, как гидроэлектростанция во Франции.
Одновременно были замечены дополнительные атаки, связанные с иранскими источниками, использующими протокол Modbus, что указывает на межнациональную синергию в атаках на ПЛК. В этих атаках использовались такие инструменты, как Metasploit, с разведкой, нацеленной на конкретные функции и особенности ПЛК, демонстрируя острую осведомленность о протоколах OT. Схема действий, демонстрируемая этими злоумышленниками, подразумевает ручную организацию, о чем свидетельствуют различия в IP-адресах и параметрах атаки, что отличается от поведения при автоматическом сканировании.
Связанные с Россией IP-адреса известных хостинговых служб способствовали атакам на HMI, усиливая опасения, учитывая их связи с различными инструментами и сервисами, обычно ассоциируемыми с российскими кибероперациями. Используемые стратегии, такие как использование нескольких протоколов — Modbus, HTTP, S7 — указывают на растущую изощренность и намерение этих злоумышленников систематически компрометировать уязвимые среды OT и ICS.
Общая оценка подчеркивает растущую частоту и амбициозность хактивистских кампаний, нацеленных на важнейшую инфраструктуру, и необходимость в надежных защитных механизмах. Чтобы смягчить последствия таких атак, организациям рекомендуется устранить слабые методы аутентификации, защитить устройства от общедоступного доступа в Интернет и внедрить строгую сегментацию сети. Кроме того, ужесточение административных интерфейсов, применение надежных уникальных учетных данных и развертывание систем обнаружения с учетом протоколов могут усилить защиту от этих возникающих угроз. Мониторинг необычного трафика и потенциальной эксплуатации остается критически важным, особенно с устройств, которые могут быть перепрофилированы в сценариях распределенного отказа в обслуживании (DDoS).
#ParsedReport #CompletenessHigh
09-10-2025
Inside Akiras SonicWall Campaign: Darktraces Detection and Response
https://www.darktrace.com/blog/inside-akiras-sonicwall-campaign-darktraces-detection-and-response
Report completeness: High
Actors/Campaigns:
Akira_ransomware
Threats:
Akira_ransomware
Kerberoasting_technique
Passthehash_technique
Mimikatz_tool
Anydesk_tool
Rustdesk_tool
Ngrok_tool
Rclone_tool
Winrm_tool
Victims:
Manufacturing, Education, Healthcare, Organizations using sonicwall vpn
Industry:
Healthcare, Education
Geo:
America, Asia-pacific, Latin america
CVEs:
CVE-2024-40766 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 9
Technics: 13
IOCs:
Domain: 2
IP: 6
Url: 2
Soft:
SonicOS, Linux, ESXi, WinSCP, Active Directory
Languages:
ruby
09-10-2025
Inside Akiras SonicWall Campaign: Darktraces Detection and Response
https://www.darktrace.com/blog/inside-akiras-sonicwall-campaign-darktraces-detection-and-response
Report completeness: High
Actors/Campaigns:
Akira_ransomware
Threats:
Akira_ransomware
Kerberoasting_technique
Passthehash_technique
Mimikatz_tool
Anydesk_tool
Rustdesk_tool
Ngrok_tool
Rclone_tool
Winrm_tool
Victims:
Manufacturing, Education, Healthcare, Organizations using sonicwall vpn
Industry:
Healthcare, Education
Geo:
America, Asia-pacific, Latin america
CVEs:
CVE-2024-40766 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 9
Technics: 13
IOCs:
Domain: 2
IP: 6
Url: 2
Soft:
SonicOS, Linux, ESXi, WinSCP, Active Directory
Languages:
ruby
Darktrace
Akira SonicWall Campaign Uncovered
Darktrace detected suspicious activity in a US network, including scanning, lateral movement, and data exfiltration. A compromised SonicWall VPN server linked the incident to the broader Akira campaign exploiting known vulnerabilities.
CTT Report Hub
#ParsedReport #CompletenessHigh 09-10-2025 Inside Akiras SonicWall Campaign: Darktraces Detection and Response https://www.darktrace.com/blog/inside-akiras-sonicwall-campaign-darktraces-detection-and-response Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания Akira ransomware, которая значительно активизировалась в июле и августе 2025 года, использовала уязвимость неправильного контроля доступа CVE-2024-40766 в устройствах SonicWall SSL VPN. Используя модель "Программа-вымогатель как услуга", Akira применила тактику двойного вымогательства и нацелилась на службы удаленного доступа, используя методы, включающие кражу учетных данных и перемещение внутри компании. Аномальные сетевые действия включали разведку, получение учетных данных через Active Directory и эксфильтрацию данных объемом около 2 ГБ на облачную конечную точку, подключенную к Akira.
-----
Кампания Akira ransomware была нацелена на устройства SonicWall SSL VPN в июле и августе 2025 года. Он использовал CVE-2024-40766, уязвимость неправильного контроля доступа в SonicOS версий 7.0.1.5035 и более ранних. Akira ransomware активна с марта 2023 года и работает по модели "Программа-вымогатель как услуга" (RaaS). Они используют тактику двойного вымогательства, требуя плату за расшифровку данных и чтобы избежать публичного раскрытия конфиденциальной информации. Распространенные методы атак включают использование служб удаленного доступа, таких как RDP и VPN. Была обнаружена аномальная сетевая активность, в том числе устройство, выполняющее сканирование сети и поиск открытых портов. Устройство установило исходящее подключение Службы удаленного управления Windows (WinRM) к контроллерам домена и получило получение учетных данных путем получения сертификата Active Directory. Эксфильтрация данных началась около 07:00 UTC, при этом примерно 2 ГБ данных было загружено по SSH на внешнюю конечную точку, связанную с Akira group. Кампания подчеркивает риски, связанные с ранее раскрытыми уязвимостями и неправильными настройками, которые могут привести к первоначальному доступу и повышению привилегий. Индикаторы компрометации, связанные с атакой, включают конкретные IP-адреса, относящиеся к командной инфраструктуре акторов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания Akira ransomware, которая значительно активизировалась в июле и августе 2025 года, использовала уязвимость неправильного контроля доступа CVE-2024-40766 в устройствах SonicWall SSL VPN. Используя модель "Программа-вымогатель как услуга", Akira применила тактику двойного вымогательства и нацелилась на службы удаленного доступа, используя методы, включающие кражу учетных данных и перемещение внутри компании. Аномальные сетевые действия включали разведку, получение учетных данных через Active Directory и эксфильтрацию данных объемом около 2 ГБ на облачную конечную точку, подключенную к Akira.
-----
Кампания Akira ransomware была нацелена на устройства SonicWall SSL VPN в июле и августе 2025 года. Он использовал CVE-2024-40766, уязвимость неправильного контроля доступа в SonicOS версий 7.0.1.5035 и более ранних. Akira ransomware активна с марта 2023 года и работает по модели "Программа-вымогатель как услуга" (RaaS). Они используют тактику двойного вымогательства, требуя плату за расшифровку данных и чтобы избежать публичного раскрытия конфиденциальной информации. Распространенные методы атак включают использование служб удаленного доступа, таких как RDP и VPN. Была обнаружена аномальная сетевая активность, в том числе устройство, выполняющее сканирование сети и поиск открытых портов. Устройство установило исходящее подключение Службы удаленного управления Windows (WinRM) к контроллерам домена и получило получение учетных данных путем получения сертификата Active Directory. Эксфильтрация данных началась около 07:00 UTC, при этом примерно 2 ГБ данных было загружено по SSH на внешнюю конечную точку, связанную с Akira group. Кампания подчеркивает риски, связанные с ранее раскрытыми уязвимостями и неправильными настройками, которые могут привести к первоначальному доступу и повышению привилегий. Индикаторы компрометации, связанные с атакой, включают конкретные IP-адреса, относящиеся к командной инфраструктуре акторов.
#ParsedReport #CompletenessLow
09-10-2025
From CPU Spikes to Defense: How Varonis Prevented a Ransomware Disaster
https://www.varonis.com/blog/varonis-prevents-ransomware-disaster
Report completeness: Low
Actors/Campaigns:
Ransomhub
Threats:
Ransomhub
Nltest_tool
Azcopy_tool
Socgholish_loader
Victims:
Enterprise networks
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 3
Soft:
Active Directory, KeePass, Chrome, ADFS, Microsoft Office, ESXi, Twitter
Win API:
SeTcbPrivilege
Languages:
javascript, python, powershell
Links:
09-10-2025
From CPU Spikes to Defense: How Varonis Prevented a Ransomware Disaster
https://www.varonis.com/blog/varonis-prevents-ransomware-disaster
Report completeness: Low
Actors/Campaigns:
Ransomhub
Threats:
Ransomhub
Nltest_tool
Azcopy_tool
Socgholish_loader
Victims:
Enterprise networks
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 3
Soft:
Active Directory, KeePass, Chrome, ADFS, Microsoft Office, ESXi, Twitter
Win API:
SeTcbPrivilege
Languages:
javascript, python, powershell
Links:
https://github.com/joeavanzato/socgholish\_c2\_unpackerVaronis
From CPU Spikes to Defense: How Varonis Prevented a Ransomware Disaster
Discover how Varonis' advanced threat response ensured zero downtime and complete remediation when stopping a ransomware attack.