#ParsedReport #CompletenessMedium
14-10-2025

Kaiji Malware: Anatomy, Persistence and Detection

https://www.aquasec.com/blog/kaiji-malware-anatomy-persistence-detection/

Report completeness: Medium

Threats:
Kaiji
Sshscan_tool
Billgates
Mirai

Victims:
Organizations with exposed ssh, Infrastructure targeted for ddos

Industry:
Software_development, Iot

CVEs:
CVE-2024-6387 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 4
Technics: 0

IOCs:
IP: 3
Hash: 12
File: 1

Soft:
SELinux, linux

Algorithms:
md5

Platforms:
amd64, mips

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Kaiji - это сложная угроза, использующая слабые учетные данные SSH, проявляющаяся в виде двоичного файла Go объемом 5,32 МБ, который поддерживает многопротокольные сетевые атаки по более чем 24 векторам, включая TCP, UDP и WebSocket. Он поддерживает закрепление, дублируя файлы в различных местах и создавая задания cron и сценарии инициализации для выполнения при запуске, используя методы, подобные руткитам, чтобы избежать обнаружения. Kaiji может выполнять крупномасштабные DDoS-атаки, прокси-сервер вредоносного трафика и обмениваться данными со своим сервером C2, привязанным к домену su6s.su и IP-адрес 198.251.81.61.
-----

Вредоносное ПО Kaiji - это сложная киберугроза, выявленная с помощью использования honeypot, использующего слабые учетные данные SSH. Вредоносное ПО, большой двоичный файл Go объемом 5,32 МБ, предназначенный для мультипротокольных сетевых атак, было идентифицировано с помощью хэша MD5 fd05b94c016fd2eb7e26c406fa2266d0. Он использует более 24 различных векторов атак, включая TCP, UDP и WebSocket, и имеет встроенный SOCKS5 и HTTP-прокси для связи со своим сервером управления (C2) через HTTP/HTTPS.

Kaiji использует несколько методов закрепления, чтобы поддерживать свое присутствие в скомпрометированных системах. Он дублирует себя в различных местах, включая /boot/system.pub и /usr/lib/libgdi.so.0.8.2, и создает задание cron для обеспечения его периодического запуска. Кроме того, он помещает скрипт в /etc/profile.d/bash.cfg, который выполняется при запуске оболочки, вместе со скриптом инициализации SysV в /etc/init.d/x11-common, который гарантирует его выполнение при запуске системы. Эти методы позволяют Kaiji уклоняться от обнаружения, одновременно закрепляясь в уязвимых системах.

Чтобы еще больше скрыть свою деятельность, Kaiji использует передовые методы запутывания. Он использует метод привязки монтирования, чтобы скрыть детали своего процесса, заменяя эти записи в файловой системе /proc доброкачественными данными. Эта манипулятивная тактика согласуется с поведением руткитов, разработанным для того, чтобы избежать обнаружения стандартными инструментами мониторинга. Кроме того, Kaiji изменяет выходные данные пользовательских команд, используя скрипт Bash, который отфильтровывает результаты критически важных системных команд, подавляя информацию о своем присутствии и активности.

Вредоносное ПО способно выполнять крупномасштабные DDoS-атаки на доступные сети и может прокси-серверировать вредоносный трафик, демонстрируя свой потенциал значительного разрушительного воздействия. Сервер C2, используемый при атаках, привязан к определенному домену, su6s.su , который был зарегистрирован в 2025 году, но не имеет прямого разрешения IP-адресов. Однако его поддомен указывает на IP-адрес 198.251.81.61.

Обнаружение Kaiji имеет решающее значение для смягчения его угроз, и организации могут повысить уровень своей безопасности от него, внедрив средства защиты во время выполнения для отслеживания аномального поведения, указывающего на его работу. Это включает в себя отслеживание несанкционированных действий прокси-сервера и необычных сетевых привязок, которые могут сигнализировать о присутствии этого вредоносного ПО в их среде.

#ParsedReport #CompletenessHigh
14-10-2025

LinkPro: eBPF rootkit analysis

https://www.synacktiv.com/en/publications/linkpro-ebpf-rootkit-analysis.html

Report completeness: High

Actors/Campaigns:
Unc5174

Threats:
Linkpro
Bpfdoor
Symbiote
J-magic
Ebpfexploit_tool
Mitm_technique
Vshell
Dns_tunneling_technique
Snowlight
Dynamic_linker_hijacking_technique
Timestomp_technique
Resocks_tool

Victims:
Cloud infrastructure, Aws eks environments, Jenkins servers, Gnu linux systems

CVEs:
CVE-2024-23897 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 7
Technics: 13

IOCs:
Url: 1
IP: 2
Hash: 8
File: 4

Soft:
Linux, Jenkins, docker, systemd, nginx, Ubuntu, Unix, Twitter

Algorithms:
base64, xor, sha256, aes-256-gcm

Functions:
LinkPro, direct, bpf_ktime_get_ns, get_in_port

Languages:
rust, golang

YARA: Found

Links:
https://github.com/synacktiv/synacktiv-rules/
https://github.com/link-pro
have more...

#ParsedReport #ExtractedSchema

Classified images:
dump: 1, code: 7, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Руткит LinkPro, обнаруженный в системах, размещенных на AWS, использует модули eBPF для скрытности и контроля после взлома сервера Jenkins, привязанного к CVE-2024-23897. Написанный на Golang, он маскирует свои операции, используя специальный "волшебный пакет" для связи C2, используя методы Перехвата динамического компоновщика и закрепления, такие как перемонтирование корневого раздела и установка Служб systemd. Это сложное вредоносное ПО может выполнять команды, создавать прокси-сервер SOCKS5 и использует продвинутую тактику уклонения, согласованную с платформой MITRE ATT&CK, подчеркивая необходимость надежного обнаружения в облачных средах.
-----

Руткит LinkPro, обнаруженный в инфраструктуре, размещенной на AWS, использует передовые технологии, включая модули eBPF (extended Berkeley Packet Filter) для скрытности и контроля над скомпрометированными системами GNU/Linux. Первоначальное нарушение было обнаружено на уязвимом сервере Jenkins, идентифицированном в соответствии с CVE-2024-23897, что предоставило злоумышленнику доступ к конвейеру интеграции и развертывания в Amazon Elastic Kubernetes Service (EKS).

Разработанный в Golang, LinkPro предназначен для сокрытия своего присутствия и связи с сервером управления (C2) при получении определенного "волшебного пакета" — TCP SYN-пакета с размером окна 54321. Этот руткит работает в двух режимах: пассивном, где он ожидает команд, и активном, где он напрямую взаимодействует с C2. В нем используются модули eBPF, которые становятся активными только при определенных условиях, что усложняет его возможности обнаружения и реагирования.

Механизм закрепления руткита включает в себя манипулирование системой путем перемонтирования корневого раздела с правами на чтение/запись, копирования его исполняемого файла в скрытый каталог и создания Службы systemd, которая выполняет вредоносный код при запуске. Он использует Перехват динамического компоновщика для дальнейшей маскировки своего присутствия, используя "/etc/ld.so.preload", чтобы скрыть свою общую библиотеку.

LinkPro использует специализированные программы eBPF для сокрытия своих артефактов. Модуль "Скрыть" eBPF подключается к точкам трассировки системных вызовов, изменяя поведение getdents и getdents64, чтобы предотвратить видимость файлов, связанных с руткитом, а также вводя перехватчики для sys_bpf, чтобы скрыть свои программы eBPF от инструментов мониторинга. Модуль "Knock" инициализирует связь, если выполняются условия "волшебного пакета", предоставляя злоумышленнику узкое окно для взаимодействия со взломанной системой.

Что касается возможностей, LinkPro может создавать полноценную интерактивную оболочку, выполнять произвольные команды, управлять файлами и устанавливать прокси-туннель SOCKS5 с помощью своей функции reverse_connect. Использование HTTP и DNS tunneling для связи C2 добавляет уровни запутывания, в то время как эксфильтрация данных осуществляется через блоки, закодированные в Base64, по установленному соединению.

Поведение LinkPro согласуется с различными тактиками в рамках платформы MITRE ATT&CK, включая создание Служб systemd для закрепления, использование функций руткита для уклонения от обнаружения и использование методов Изучения файлов и каталогов для изучения файловой системы жертвы. Этот анализ подчеркивает растущую сложность бэкдорных угроз, использующих функции уровня ядра в современных операционных системах, и подчеркивает острую необходимость в усовершенствованных стратегиях обнаружения и реагирования в облачных средах.

#technique #llm

Pattern Enhanced Multi-Turn Jailbreaking: Exploiting Structural Vulnerabilities in Large Language Models

https://arxiv.org/html/2510.08859v1

#ParsedReport #CompletenessHigh
15-10-2025

Mysterious Elephant: a growing threat

https://securelist.com/mysterious-elephant-apt-ttps-and-tools/117596/

Report completeness: High

Actors/Campaigns:
Mysterious_elephant (motivation: information_theft)
Apt59
Donot
Sidewinder

Threats:
Babshell
Memloader_tool
Vtyrei
Spear-phishing_technique
Remcos_rat
Vxrat
Chromestealer_exfiltrator

Victims:
Government entities, Diplomatic institutions, Foreign affairs sector

Industry:
Government

Geo:
Bangladesh, Asia, Apac, Asia-pacific, Sri lanka, Nepal, Afghanistan, Pakistan

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1020, T1027, T1041, T1059.001, T1071.001, T1082, T1105, T1203, T1204, T1218.011, have more...

IOCs:
File: 9
Hash: 16
Url: 6
Domain: 4
IP: 3

Soft:
WhatsApp, curl, Google Chrome, Chrome

Algorithms:
md5, xor, rc4, zip, base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mysterious Elephant - это APT группировка, нацеленная на государственные структуры в Азиатско-Тихоокеанском регионе, использующая адаптивные тактики, такие как WhatsApp, для эксфильтрации данных. Их инструментарий включает в себя обратную оболочку BabShell для установления постоянных подключений и использования пользовательских инструментов с открытым исходным кодом для целевых кампаний фишинга, особенно ориентированных на организации из Южной Азии. Группа использует сложные методы, такие как рекурсивный обход каталогов и методы DNS с подстановочными знаками, для усиления уклонения и поддержания оперативной секретности.
-----

Mysterious Elephant - это APT группировка, идентифицированная Kaspersky GReAT в 2023 году, известная тем, что она нацелена на государственные структуры и внешнеполитические ведомства в Азиатско-Тихоокеанском регионе. Эта группа продемонстрировала значительную способность адаптировать и развивать свои тактики, методы и процедуры (TTP), в частности, используя сообщения WhatsApp для извлечения конфиденциальных данных, таких как документы и изображения.

Первоначальные оценки классифицировали Mysterious Elephant наряду с злоумышленником Confucius, но дальнейшие исследования выявили сложную связь с несколькими группами сложных целенаправленных угроз, включая Origami Elephant и SideWinder. Их вредоносное ПО демонстрирует заимствованный у этих групп код, который Mysterious Elephant продолжает разрабатывать и перепрофилировать, создавая обновленные версии существующих инструментов. Одной из их ранних тактик было использование CVE-2017-11882 с использованием загрузчика под названием "Vtyrei", который ранее был связан с Origami Elephant.

Последняя кампания группы, раскрытая в начале 2025 года, знаменует собой стратегический сдвиг, включающий методы spear phishing, адаптированные к конкретным жертвам, особенно нацеленные на организации в Южной Азии, такие как Пакистан. Эти электронные письма с фишингом предназначены для имитации законной переписки и тесно связаны с дипломатической тематикой. Вместо использования известного вредоносного ПО Mysterious Elephant использует комбинацию пользовательских инструментов и инструментов с открытым исходным кодом, демонстрируя сложный подход к доступу к целям.

Одним из важных компонентов в их арсенале является BabShell, инструмент обратной оболочки, разработанный на C++, который помогает устанавливать постоянное подключение к скомпрометированным системам. После выполнения BabShell собирает системную информацию и может выполнять команды или развертывать дополнительные полезные нагрузки. Группа также использует скрипты PowerShell для облегчения выполнения команд и поддержания закрепления в скомпрометированных сетях. Их стратегии эксфильтрации включают специализированные инструменты, направленные на кражу данных из WhatsApp, используя такие методы, как рекурсивный обход каталогов и методы кодирования, чтобы избежать обнаружения при загрузке украденной информации на их серверы командования и контроля (C2).

Инфраструктура Mysterious Elephant использует сеть развивающихся доменов и IP-адресов, используя такие методы, как DNS-записи с подстановочными знаками, для создания уникальных доменов, что усложняет отслеживание. Они в значительной степени полагаются на Виртуальные выделенные серверы (VPS) и Облачные сервисы, позволяющие осуществлять масштабируемые операции и обходные маневры. Их атаки в основном нацелены на правительственный сектор и сектор иностранных дел преимущественно в Пакистане, Бангладеш и Шри-Ланке, используя специально разработанную полезную нагрузку для целенаправленного проникновения.

#ParsedReport #CompletenessHigh
15-10-2025

StealthServer: A Dual-Platform Backdoor from a South Asian APT Group

https://blog.xlab.qianxin.com/apt-stealthserver-en/

Report completeness: High

Actors/Campaigns:
Transparenttribe

Threats:
Stealthserver
Junk_code_technique
Antidebugging_technique

Victims:
Government sector, Defense sector, South asian region

Industry:
Military, Government

Geo:
Bulgaria, Switzerland, Israeli, Netherlands, Asian, France

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.005, T1071.001, T1105, T1204.002, T1497.001, T1566.001

IOCs:
Domain: 13
IP: 3
Hash: 12
File: 9
Url: 7
Command: 3
Registry: 1

Soft:
Linux, Firefox, curl, crontab, systemd, VirtualBox, QEMU, Hyper-V, Node.js, Windows Defender, have more...

Algorithms:
aes-gcm, exhibit, xor, base64, sha256, aes

Win API:
IsDebuggerPresent

Languages:
powershell, golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
StealthServer - это двухплатформенный бэкдор, приписываемый южноазиатской группе APT36, нацеленный на системы Windows и Linux с помощью кодов, написанных на Golang. Вредоносное ПО распространяется через вредоносные документы и использует различные методы запутывания, используя постоянные механизмы и стратегии антианализа, чтобы избежать обнаружения. Связь с его сервером командования и контроля осуществляется по протоколу TCP с использованием данных JSON, причем обновления в вариантах указывают на продолжающееся развитие тактики запутывания и уклонения.
-----

StealthServer - это сложный двухплатформенный бэкдор, приписываемый южноазиатской группе, которая, как подозревается, связана с APT36. Это вредоносное ПО нацелено как на системы Windows, так и на Linux, причем образцы написаны на Golang и имеют схожие пути сборки, обычно следующие шаблону */bossmaya/*/obfuscated*.go. Впервые появившись в июле 2023 года, StealthServer был показан в полезных файлах, замаскированных под документы, связанные с совещаниями или закупками, о чем свидетельствуют имена файлов типа "Meeting_Ltr_ID1543ops.pdf.desktop.".

Версия вредоносного ПО для Windows была впервые распространена через вредоносный документ PowerPoint под названием "PM & Est Sanction Final 2025.ppam", который содержит встроенный макрос, активирующийся при включении выполнения макроса в приложениях Microsoft Office. Этот макрос ссылается на два URL-адреса: первый служит приманкой, в то время как второй, содержащий полезную нагрузку StealthServer, выполняет вредоносную активность.

С точки зрения функциональности, Linux-вариант StealthServer использует стратегии запутывания и отображает отдельный путь сборки (D:/bossmaya/client/obfuscated_client.go ). Вредоносное ПО использует различные методы антианализа, включая обфускацию большого количества junk-code и постоянные механизмы для поддержания своей работы. Он устанавливает себя в каталог %AppData%, переименовывая свой файл в nodejs.exe и помечать его как скрытый и связанный с системой, чтобы избежать обнаружения.

Что касается связи, StealthServer устанавливает соединение с сервером управления modindia.serveminecraft.net по протоколу TCP, обмениваясь данными в формате JSON через порт 8080. Пакеты для регистрации разработаны с жестко закодированными идентификаторами, создающими специальные теги для разных версий, в то время как структура включает имя хоста и информацию об обнаруженном антивирусном программном обеспечении, умело замаскированную посторонним кодом, чтобы затруднить анализ.

Последующие варианты StealthServer для Windows, идентифицированные ранее в августе, продемонстрировали прогресс в запутывании и функциональности. Второй вариант, помеченный как "proxifiersetup.exe ," также заимствован из стандартов запутанных именований и включает в себя меры защиты от отладки для таких инструментов, как OllyDbg и IDA. Третий вариант Windows перешел на использование связи WebSocket через сервер ws://kavach.space:5500, сохранив те же функциональные возможности, что и его предшественники, но указав на эволюционирующие методы поддержания закрепления и уклонения от обнаружения.

#ParsedReport #CompletenessLow
14-10-2025

Search, Click, Steal: The Hidden Threat of Spoofed Ivanti VPN Client Sites

https://www.zscaler.com/blogs/security-research/spoofed-ivanti-vpn-client-sites

Report completeness: Low

Threats:
Seo_poisoning_technique
Credential_stealing_technique
Akira_ransomware
Hawkeye_keylogger

Victims:
Ivanti pulse secure users

ChatGPT TTPs:
do not use without manual check
T1005, T1036.005, T1041, T1071.001, T1078, T1552.001, T1566.002, T1574.001, T1583.001, T1583.006, have more...

IOCs:
File: 4
Domain: 4
Url: 2
Hash: 2
Path: 1
IP: 2

Soft:
Ivanti

Algorithms:
md5, xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ указывает на всплеск поисковой системы SEO poisoning, нацеленной на пользователей, которые ищут программное обеспечение Ivanti Pulse Secure VPN, перенаправляя их на поддельные сайты, на которых размещен троянский установщик. Этот вредоносный установщик включает в себя библиотеку DLL, credential-stealing, и нацелен на файл connectionstore.dat для эксфильтрации данных, отправляя конфиденциальную информацию на сервер управления в Microsoft Azure. Эта тактика позволяет злоумышленникам получать учетные данные VPN, облегчая дальнейший доступ и перемещение внутри компании в корпоративных сетях, что связано с прошлыми атаками программ-вымогателей, такими как вариант Akira.
-----

Недавний анализ, проведенный командой Zscaler по поиску угроз, выявил рост вредоносных действий, связанных с Отравлением поисковой оптимизации (SEO), специально предназначенных для пользователей, которые ищут законное программное обеспечение Ivanti Pulse Secure VPN client. Злоумышленники перенаправляют этих пользователей на поддельные сайты, на которых размещена троянская версия VPN-клиента, в основном размещенная на доменах-двойниках, предназначенных для того, чтобы казаться заслуживающими доверия. Целью этой кампании является несанкционированное получение учетных данных VPN, что может способствовать дальнейшим нарушениям в корпоративных сетях.

Троянский установщик, который маскируется под законный MSI-файл, содержит credential-stealing библиотеку динамических ссылок (DLL). После выполнения он удаляет несколько файлов, включая вредоносные компоненты, такие как dwmapi.dll и pulse_extension.dll . Основной целью эксфильтрации данных является файл connectionstore.dat, который содержит сохраненные сведения о подключении, включая URI VPN-сервера. Эта информация дополняется жестко закодированными учетными данными и передается на сервер управления, расположенный в инфраструктуре Microsoft Azure.

Исторически сложилось так, что извлечение учетных данных VPN имело решающее значение для злоумышленников, обеспечивая первоначальный доступ, который позволяет осуществлять обширные перемещения внутри компании и дальнейшую разведку в скомпрометированных сетях. Эта тактика была связана с предыдущими атаками, которые привели к внедрению программ-вымогателей, в частности варианта Akira. Эта постоянная угроза подчеркивает постоянный риск, который представляют злонамеренные акторы, используя слабые места в законных каналах распространения программного обеспечения.

Чтобы снизить риски, специалистам по безопасности рекомендуется изолировать потенциально зараженные компьютеры от сети и быстро устранять любые заражения, обеспечивая полное удаление вредоносных артефактов. Внедрение Многофакторной аутентификации (MFA) для всего удаленного доступа может значительно снизить риск, связанный с кражей учетных данных. Кроме того, организациям следует тщательно проверять свои журналы на наличие признаков вредоносной активности, таких как исходящие подключения к определенным IP-адресам, связанным с эксплойтом, и применять дополнительные меры наблюдения за вновь зарегистрированными доменами.

Крайне важно информировать конечных пользователей об опасностях использования программного обеспечения из непроверенных источников, равно как и культивировать осторожный подход к результатам поиска - даже для программного обеспечения с хорошей репутацией. Кроме того, угроза Отравления поисковой оптимизации (SEO) подчеркивает важность упреждающего поиска угроз для эффективного обнаружения возникающих угроз и реагирования на них. Эта недавняя кампания является примером того, как тактика обмана может обойти традиционную защиту периметра, подчеркивая необходимость постоянной бдительности и адаптивных методов обеспечения кибербезопасности.

#ParsedReport #CompletenessLow
15-10-2025

Anatomy of an Attack: The "BlackSuit Blitz" at a Global Equipment Manufacturer

https://unit42.paloaltonetworks.com/anatomy-of-an-attack-blacksuit-ransomware-blitz/

Report completeness: Low

Actors/Campaigns:
Blacksuit

Threats:
Blacksuit_ransomware
Blitz_tool
Dcsync_technique
Smbexec_tool
Anydesk_tool
Rclone_tool
Petitpotam_vuln

Victims:
Global equipment manufacturer, Manufacturing

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1566.002, T1598.003

IOCs:
File: 1

Soft:
ESXi

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака программы-вымогателя "BlackSuit Blitz", осуществленная группой Ignoble Scorpius, иллюстрирует сложный подход, который начался с голосового фишинга для получения законных учетных данных VPN. Этот метод позволил злоумышленникам проникнуть в системы компании, продемонстрировав значительный риск, связанный с одиночными скомпрометированными учетными данными, и эволюционирующую природу программ-вымогателей, таких как BlackSuit. Инцидент подчеркивает необходимость совершенствования методов разведки противниками, чтобы закрепиться внутри организаций.
-----

Атака "BlackSuit Blitz" на мирового производителя оборудования является примером изощренного вымогательства, инициированного с помощью тактики социальной инженерии. Злоумышленники, идентифицированные как члены группы Ignoble Scorpius, начали свою операцию с голосового фишинга (vishing), где они выдавали себя за службу технической поддержки компании. Этот обман позволил им обманом заставить сотрудника ввести законные учетные данные VPN на мошенническом сайте, облегчив первоначальный доступ к системам компании.

Атака подчеркивает опасность, исходящую от отдельных скомпрометированных учетных данных, которые могут привести к обширным нарушениям безопасности, если им эффективно не противодействовать. Использование BlackSuit ransomware указывает на растущую изощренность угроз, связанных с вымогательством, когда противники используют методы разведки, чтобы закрепиться внутри организации.

Для устранения таких уязвимостей рекомендуется принять несколько защитных мер. Организациям следует заменить устаревшие брандмауэры Cisco ASA на брандмауэры нового поколения и внедрить стратегии сегментации сети. Административный доступ к критически важным системам, таким как контроллеры домена и хосты ESXi, должен быть ограничен выделенными сетями управления VLAN, чтобы предотвратить несанкционированный доступ.

Кроме того, протоколы управления идентификацией и доступом должны быть усилены путем применения Многофакторной аутентификации (MFA) для всего удаленного доступа, отключения NTLM и использования ротации учетных данных. Крайне важно ограничить использование учетных записей служб для интерактивного входа в систему, особенно для доступа по Протоколу удаленного рабочего стола (RDP).

Защита конечных точек и серверов также имеет решающее значение; это включает блокировку EFSRPC для предотвращения таких атак, как PetitPotam/DCSync, и поддержание в актуальном состоянии расширенного решения для обнаружения и реагирования (XDR) на всех конечных точках. Обеспечение поэтапного вывода из эксплуатации систем с истекшим сроком службы и строгая политика внесения исправлений могут значительно снизить вероятность атаки.

Необходимы улучшения в ведении журнала и мониторинге, такие как увеличение срока хранения журнала более чем до 90 дней для жизненно важных источников, что может расширить возможности судебной экспертизы при реагировании на инциденты. Надлежащие функции анализа и проверки журналов, такие как AWS CloudTrail log validation, необходимы для эффективного анализа инцидентов безопасности и реагирования на них.