#ParsedReport #CompletenessMedium
17-10-2025

Scattered LAPSUS$ Hunters: 2025's Most Dangerous Cybercrime Supergroup

https://www.picussecurity.com/resource/blog/scattered-lapsus-hunters-2025s-most-dangerous-cybercrime-supergroup

Report completeness: Medium

Actors/Campaigns:
Scattered_lapsus_hunters (motivation: financially_motivated, cyber_criminal)
0ktapus
Shinyhunters (motivation: financially_motivated)
Shiny_spider
Unc6040
Unc6395
Lapsus

Threats:
Spear-phishing_technique
Credential_dumping_technique
Ntdsutil_tool
Redline_stealer
Rustscan_tool
Ad_explorer_tool
Adrecon_tool
Screenconnect_tool
Teamviewer_tool
Splashtop_tool

Victims:
Salesforce customers, Google, Cisco, Salesloft, Drift, Organizations using aws, Organizations using forgerock openam, Office 365 tenants

Industry:
Telco, Aerospace, Financial, Bp_outsourcing, Retail

CVEs:
CVE-2021-35464 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 7
Technics: 9

IOCs:
Path: 2
File: 1
IP: 1

Soft:
ChatGPT, Salesforce, Telegram, Salesloft Drift, ForgeRock OpenAM, Active Directory, curl, ESXi, Office 365, Pulseway, have more...

Functions:
Get-ADUser

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The Scattered Lapsus$ Hunters, коалиция ранее активных киберпреступных группировок, появилась в 2025 году, осуществляя сложные скоординированные кибератаки с помощью социальной инженерии и эксфильтрации данных. Они нацелились на такие системы, как Salesforce, используя вишинг-атаки для установки вредоносных интеграций и получения доступа на уровне API, что оказало воздействие на такие компании, как Google и Cisco. Их методы включали использование CVE-2021-35464, credential dumping, удаленный доступ с помощью законного программного обеспечения и создание порталов вымогательства для монетизации своих атак.
-----

В 2025 году появится новая киберпреступная группировка, известная как Scattered Lapsus$ Hunters, представляющие коалицию, состоящую из элементов из Scattered Spider, LAPSUS$ и ShinyHunters. Этот альянс указывает на переход к более скоординированным и изощренным атакам, которые используют социальную инженерию и эксфильтрацию данных наряду с тактикой публичного вымогательства.

В конце 2024 года группа получила известность за проведение вишинговых атак, в частности, на системы Salesforce. Они успешно обманули сотрудников, установив вредоносные интеграции, которые предоставили злоумышленникам доступ на уровне API к критически важным средам, что привело к существенным утечкам данных в крупных компаниях, включая Google и Cisco. В ходе своей деятельности в период с марта по июнь 2025 года они воспользовались доступом к репозиториям Salesloft на GitHub и проникли в среду AWS Drift, где злоупотребляли токенами OAuth для извлечения конфиденциальных данных.

К июню 2025 года Google задокументировала использование группой тактики Имперсонации для получения доступа к данным Salesforce, подчеркнув, что они полагаются на социальную инженерию, а не на использование технических уязвимостей. Недавно созданный Telegram-канал в августе 2025 года стал центром их скоординированных усилий, поддержки кампаний, сфабрикованных утечек и объявления о готовящейся платформе "Программа-вымогатель как услуга". Несмотря на заявления о прекращении операций в сентябре 2025 года, текущие мероприятия по-прежнему были нацелены на Salesforce и связанные с ней среды.

С технической точки зрения, Scattered Lapsus$ Hunters использовали различные приемы. Они активно добивались доступа к инсайдерской информации с помощью сообщений о вербовке, размещенных в кругах киберпреступников, что указывает на тенденцию к использованию инсайдерских угроз. Они использовали CVE-2021-35464 для компрометации серверов ForgeRock OpenAM, демонстрируя свою способность нацеливаться на общедоступные приложения. Их вектор атаки включал голосовой фишинг, когда злоумышленники выдавали себя за ИТ-персонал, чтобы манипулировать жертвами и заставить их предоставить доступ.

Группа продемонстрировала передовые оперативные тактики, такие как использование методов credential dumping с помощью ntdsutil и получение несанкционированного доступа к облачным ресурсам путем кражи учетных данных роли AWS IAM. Другие методы включали использование RedLine- стиллера паролей для сбора учетных данных, принудительную генерацию подсказок для Многофакторной аутентификации и обширную разведку организационных сетей и учетных записей.

Кроме того, Scattered Lapsus$ Hunters использовали ПО для удаленного доступа, устанавливая каналы управления с помощью законного программного обеспечения, что еще больше скрывало их от обнаружения. Наконец, они монетизировали свои операции с помощью вымогательства, создав портал программ-вымогателей, чтобы требовать оплаты от жертв, чьи данные были скомпрометированы.

Подводя итог, можно сказать, что Scattered Lapsus$ Hunters представляют собой высокоорганизованную коалицию киберпреступников, использующую разнообразные методы атак, которые используют как технологические эксплойты, так и тактику социальной инженерии, создавая значительную угрозу организациям по всему миру.

#ParsedReport #CompletenessMedium
19-10-2025

PureLogs Stealer: Complete Malware Analysis & CTF Walkthrough

https://medium.com/@0xzyadelzyat/purelogs-stealer-complete-malware-analysis-ctf-walkthrough-83e41e7c6efd?source=rss-b460882b1cf8------2

Report completeness: Medium

Threats:
Purelogs
Uac_bypass_technique
Credential_harvesting_technique
Dotnet_reactor_tool
Process_injection_technique
Process_hacker_tool

Victims:
Consumers, Enterprise users

Industry:
Entertainment

Geo:
Azerbaijan, Armenia, Uzbekistan, Kazakhstan, Kyrgyzstan, Moldova, Russia, Tajikistan, Belarus, Turkmenistan

TTPs:
Tactics: 5
Technics: 0

IOCs:
Hash: 1
File: 2
Registry: 1
Path: 1

Soft:
Discord, Telegram, Steam, NET Reactor, Windows Registry, VirtualBox, Hyper-V, QEMU, ESXi, Burp Suite, have more...

Algorithms:
zip, cbc, base64, sha256, aes, sha512, aes-256, pbkdf2

Functions:
smethod_1, smethod_0

Win API:
CoGetObject

Win Services:
TPVCGateway, TPAutoConnSvc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PureLogs - это продвинутый стиллер информации для Windows, который фокусируется на сборе учетных данных и конфиденциальных данных из таких приложений, как Discord, Telegram и Steam. Он использует методы запутывания и анти-отладки, чтобы избежать обнаружения, включая коммерческий .NET-упаковщик и многопоточные операции для одновременного сбора данных. Используя шифрование AES-256 и пользовательские протоколы для эксфильтрации данных, PureLogs также обладает возможностями самоудаления для устранения следов после выполнения, что представляет серьезную проблему для мер безопасности.
-----

PureLogs - это сложный стиллер информации Windows, обладающий расширенными возможностями в области эксфильтрации данных и методов уклонения, направленных на то, чтобы избежать обнаружения. Его основные функции включают сбор учетных данных, токенов сеанса и конфиденциальной информации из различных приложений, особенно ориентируясь на популярные платформы, такие как Discord, Telegram и Steam. Вредоносное ПО использует ряд технических мер, таких как надежные методы запутывания, встроенные механизмы антианализа и анти-отладки, а также шифрование военного уровня для защиты украденных данных.

Вредоносное ПО использует коммерческий .NET-упаковщик для усложнения обратного проектирования, гарантируя, что двоичный файл будет запутан и устойчив к статическому анализу. PureLogs создает мьютекс для предотвращения одновременных экземпляров в зараженных системах, снижая его шансы на обнаружение. Он включает в себя множество проверок на предмет защиты от анализа, распознавание конкретных процессов, связанных со средами изолированной среды, и активное завершение перед выполнением вредоносного кода. Вредоносное ПО также включает в себя передовые методы обхода обнаружения отладчиком и предотвращения анализа с использованием различных функций Windows API.

Одним из примечательных аспектов PureLogs является его способность выполнять сбор учетных записей в нескольких приложениях одновременно, повышая эффективность за счет многопоточных операций. Например, он нацелен на Discord, получая доступ к локальной базе данных, где хранятся токены. Вредоносное ПО умело проводит разведку системы, собирая подробную информацию об Аппаратном обеспечении и программном обеспечении, а также данные о геолокации для оценки местоположения жертвы и сетевых атрибутов.

PureLogs использует шифрование AES-256 с использованием режима цепочки блоков шифрования (CBC) для защиты отфильтрованных данных. Процесс шифрования усилен с помощью получения ключа PBKDF2, который использует фиксированное значение соли и хэши SHA-512 для большей безопасности. Эксфильтрация данных происходит по пользовательским протоколам, подключающимся к серверам управления (C2), с определенными портами, жестко запрограммированными для этой цели. К украденным данным добавляется уникальный идентификатор, чтобы различать различные сборки вредоносного ПО перед передачей.

Вредоносное ПО также разработано с возможностью самоудаления, гарантируя, что его следы будут уничтожены после выполнения, чтобы избежать обнаружения. В целом, PureLogs представляет собой серьезную киберугрозу, характеризующуюся модульной архитектурой, обширными тактиками уклонения и сложными стратегиями шифрования, что делает его сложной задачей для исследователей безопасности и автоматизированных инструментов анализа.

#ParsedReport #CompletenessLow
19-10-2025

Lessons from the BlackBasta Ransomware Attack on Capita

https://blog.bushidotoken.net/2025/10/lessons-from-blackbasta-ransomware.html

Report completeness: Low

Threats:
Blackbasta
Credential_harvesting_technique
Cobalt_strike_tool
Powerpick_tool
Qakbot
Rclone_tool
Systembc

Victims:
Capita, Business process outsourcing, Managed service provider, Public sector operations

Industry:
Media, Government, Bp_outsourcing, Financial, Education

Geo:
London, Great britain

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1041, T1078, T1078.003, T1105, T1204.002, T1486

IOCs:
File: 3

Soft:
Active Directory

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2023 года BlackBasta group осуществила атаку с использованием программы-вымогателя на Capita, что привело к утечке данных, затрагивающих более шести миллионов индивидуальных записей, включая конфиденциальную личную и финансовую информацию. Нарушение усугублялось задержкой реагирования на инцидент из-за нехватки ресурсов для обеспечения безопасности: критическое предупреждение игнорировалось почти 58 часов, а отсутствие многоуровневого доступа к Active Directory позволяло злоумышленникам повышать привилегии. Несмотря на предыдущие тесты на проникновение, выявившие уязвимости в управлении рекламой, необходимые меры безопасности не были своевременно приняты.
-----

В марте 2023 года Capita столкнулась со значительной утечкой данных из-за атаки программ-вымогателей со стороны BlackBasta group, что привело к эксфильтрации более шести миллионов отдельных записей. Украденные данные включали конфиденциальную информацию, такую как домашние адреса, номера электронной почты и телефонов, номера национальной страховки, сканы драйверов прав и паспортов, реквизиты банковских счетов и номера кредитных карт. Инцидент привел к штрафу в размере 14 миллионов фунтов стерлингов, наложенному Управлением комиссара по информации Великобритании (ICO), и расходам на восстановление, оцениваемым в 20 миллионов фунтов стерлингов.

Отчет ICO представил хронологию событий, приведших к атаке, подчеркнув критические недостатки в операциях Capita по обеспечению безопасности. Примечательно, что первоначальное предупреждение, вызванное Вредоносным файлом (jdmb.js ) оставалось без внимания почти 58 часов, хотя это указывало на компромисс на высоком уровне. Оперативный центр безопасности Capita (SOC) испытывал нехватку ресурсов, в смену был доступен только один аналитик, что значительно задерживало мероприятия по реагированию на инциденты. Отсутствие автоматизации в изоляции скомпрометированных устройств еще больше усугубило ситуацию, позволив злоумышленникам получить доступ администратора домена и осуществлять перемещение внутри компании внутри сети.

Тактика, методы и процедуры (TTP), используемые BlackBasta, свидетельствовали о неадекватных мерах безопасности. Например, отсутствие многоуровневости Active Directory (AD) позволило злоумышленникам свободно повышать привилегии от систем с низкими привилегиями до критически важных контроллеров домена. Многочисленные тесты на проникновение, проведенные до инцидента, выявили уязвимости, связанные с управлением рекламой и проблемами с привилегиями, однако рекомендованные исправления не были внедрены своевременно.

Уроки, извлеченные из взлома, подчеркнули важность правильно настроенных средств безопасности, эффективного мониторинга и установления четкого времени реагирования на критические предупреждения. Были сочтены необходимыми строгие соглашения об уровне обслуживания (SLA) для реагирования на инциденты, а также разделение административных привилегий для ограничения воздействия нарушений. В отчете пропагандировалась автоматизация процессов реагирования на инциденты с помощью решений для организации безопасности, автоматизации и реагирования (SOAR), которые могли бы значительно сократить время реагирования и повысить эффективность сдерживания угроз в целом.

#ParsedReport #CompletenessMedium
18-10-2025

131 Spamware Extensions Targeting WhatsApp Flood Chrome Web Store

https://socket.dev/blog/131-spamware-extensions-targeting-whatsapp-flood-chrome-web-store

Report completeness: Medium

Victims:
Brazilian users, Small businesses

Industry:
Entertainment

Geo:
Brasil, Latam, Portuguese, Brazilian

TTPs:
Tactics: 2
Technics: 3

IOCs:
Coin: 20
Domain: 20
Url: 3

Soft:
WhatsApp, Chrome, Instagram, TikTok

Languages:
javascript, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В интернет-магазине Chrome обнаружена скоординированная кампания по рассылке 131 клона веб-расширения WhatsApp для автоматизации рассылки спама бразильским пользователям. Эти расширения для рассылки спама злоупотребляют процессом проверки, вводя пользователей в заблуждение, заставляя их думать, что они в безопасности, и в то же время нарушая политики Google и WhatsApp, позволяя отправлять нежелательные сообщения. В кампании используются методы платформы MITRE ATT&CK, такие как расширения для браузера и выполнение JavaScript, что позволяет выявить уязвимости как в интернет-магазине Chrome, так и в осведомленности пользователей.
-----

Исследовательская группа Socket Threat обнаружила скоординированную кампанию по распространению в интернет-магазине Chrome 131 обновленного клона расширения для веб-автоматизации WhatsApp, предназначенного в первую очередь для рассылки спама бразильским пользователям. Кампания действует уже как минимум девять месяцев, и новые версии постоянно загружаются, в том числе совсем недавно, в середине октября 2025 года.

Эти расширения для рассылки спама работают аналогично франчайзинговой модели, когда основной оператор и аффилированные продавцы создают несколько копий одного и того же расширения под разными названиями и брендингом. Они продвигают эти клонированные расширения через похожие веб-сайты, которые утверждают, что предлагают преимущества и безопасные методы, связанные с их функциональностью. Эти рекламные акции предназначены специально для малых предприятий Бразилии, вводя их в заблуждение, заставляя думать, что включение в интернет-магазин Chrome означает тщательный аудит кода и гарантии безопасности. Однако процесс проверки включает в себя только проверку соответствия, а не тщательную сертификацию безопасности, что создает ложное ощущение безопасности у потенциальных пользователей.

Стратегия распространения использует множество практически идентичных рекламных сайтов, включая **lobovendedor.com.br**, часто сопровождаемый соответствующими Учетными записями соцсетей на нескольких платформах, таких как YouTube, LinkedIn и TikTok. Эти каналы облегчают продажу тарифных планов подписки, еще больше углубляя лживый маркетинговый подход.

Кампания нарушает несколько политик Google в отношении рассылки спама и злоупотреблений в интернет-магазине Chrome, которые прямо запрещают использование нескольких расширений, предоставляющих схожие функциональные возможности, и манипулирование показателями производительности. Автоматизированные функции этих расширений позволяют отправлять нежелательные сообщения через WhatsApp без согласия пользователя, что является явным нарушением правил работы как Google, так и WhatsApp. Например, политика обмена бизнес-сообщениями WhatsApp требует от пользователей явного согласия на переписку, которое эти расширения по своей сути обходят, продвигая тактику массового распространения информации.

С технической точки зрения кампания проиллюстрирована во фреймворке MITRE ATT&CK, указывающем на использование расширений браузера (T1176.001), требующем Выполнения с участием пользователя (T1204), использующем JavaScript для выполнения команд и сценариев (T1059.007), осуществляющем обнаружение информации из браузеров (T1217) и извлекающем данные из локальной системы (T1005). Таким образом, эта операция фишинга выявляет значительные уязвимости как в интернет-магазине Chrome, так и в осведомленности пользователей о функциях автоматического обмена сообщениями.

#ParsedReport #CompletenessHigh
19-10-2025

Lazarus Group (APT38) Explained: Timeline, TTPs, and Major Attacks

https://www.picussecurity.com/resource/blog/lazarus-group-apt38-explained-timeline-ttps-and-major-attacks

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: cyber_espionage, financially_motivated, sabotage)
Bluenoroff (motivation: cyber_espionage, financially_motivated, sabotage)
Tradertraitor
Dream_job
Moonstone_sleet
Ta404
Dev-0139
Unc577
Unc2970
Unc4034
Andariel
Copernicium

Threats:
Supply_chain_technique
Wannacry
Mata
Fastcash
Spear-phishing_technique
Watering_hole_technique
Dtrack_rat
Typosquatting_technique
Volgmer
Dll_sideloading_technique
Kiloalfa
Themida_tool
Dratzarus
Sierracharlie
Sierrabravo-two
Tflower
Eternalblue_vuln
Shadow_brokers_tool
Shadow_copies_delete_technique
Whiskeyalfa
Whiskeybravo
Whiskeydelta
Kandykorn
Hoplight
Power_ratankba

Victims:
Sony pictures entertainment, Banking, Healthcare, Critical infrastructure, Cryptocurrency platforms, Enterprises, Government

Industry:
Financial, Entertainment, Healthcare, Aerospace, Government, Critical_infrastructure

Geo:
Korea, Americas, Asia, North korea, Bangladesh, Middle east

CVEs:
CVE-2024-21338 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-38193 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 10
Technics: 15

IOCs:
Url: 1
File: 8
Domain: 2

Soft:
ChatGPT, macOS, Windows kernel, Windows Terminal, Dropbox, Outlook, Microsoft Office

Crypto:
bitcoin

Algorithms:
caracachs, aes, rc4, xor, base64

Win API:
WTSEnumerateSessionsA, CreateProcessAsUserA

Languages:
swift

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Lazarus, также известная как APT38, является изощренной хакерской группировкой, занимающейся шпионажем и Кражей денежных средств с 2009 года, использующей такие методы, как spearphishing, Теневые (drive-by) компрометации и продвинутое вредоносное ПО. Они поддерживают закрепление, используя обманчивые сочетания клавиш Windows и используя WMI для удаленного выполнения. Их операции включают в себя использование уязвимостей zero-day для повышения привилегий, использование таких инструментов, как KiloAlfa, для перемещения внутри компании и использование Зашифрованных каналов для управления коммуникациями, что показывает их адаптивность и изощренность в киберугрозах.
-----

Группа Lazarus, также идентифицируемая как APT38, является многогранной хакерской группировкой, известной сочетанием шпионажа, саботажа и Кражи денежных средств еще с 2009 года. Эта группа была причастна к многочисленным громким кибератакам, таким как атака на Sony Pictures в 2014 году, ограбление банка в Бангладеш в 2016 году и широкомасштабные сбои, вызванные программой-вымогателем WannaCry в 2017 году. Их операции демонстрируют весьма сложные методы, тактику и процедуры (TTP), которые со временем эволюционируют для поддержания эффективности в отношении различных целей.

Основные методы атак группы включают в себя spearphishing, Теневые (drive-by) компрометации и использование Вредоносных файлов для выполнения кода. В частности, Lazarus часто использует кампании spearphishing, в которых используются электронные письма и документы с использованием оружия, которые используют бэкдоры, включая Dtrack и компоненты кампании AppleJeus. Они также использовали атаки watering hole и typosquatting, чтобы проталкивать ничего не подозревающим пользователям вредоносные программы установки, замаскированные под законное программное обеспечение.

Оказавшись внутри целевой системы, группа Lazarus поддерживает закрепление с помощью различных механизмов. К ним относятся использование обманчивых ярлыков в папке автозагрузки Windows и стратегические манипуляции с настройками Инструментария управления Windows(WMI), позволяющие им удаленно выполнять сценарии. Они также используют передовые методы обфускации, такие как Динамическое разрешение API и встраивание полезных данных в безопасные форматы файлов, чтобы обойти средства обнаружения и усложнить анализ.

Что касается повышения привилегий, они воспользовались уязвимостями zero-day, такими как CVE-2024-38193, что позволило им получить доступ на системном уровне, еще больше укрепив свои позиции в скомпрометированных сетях. Их вредоносное ПО, включая кейлоггер KiloAlfa и два инструмента SierraCharlie и SierraBravo, демонстрирует перемещение внутри компании с помощью таких технологий, как Протокол удаленного рабочего стола (RDP) и электронная почта для эксфильтрации данных.

Группа компаний Lazarus продемонстрировала способность к шифрованию данных, продемонстрированную в их кампаниях по борьбе с программами-вымогателями, которые шифруют жизненно важные пользовательские данные, затрагивая различные секторы - от здравоохранения до правительственных операций. Их возможности по очистке дисков также указывают на готовность уничтожать значительные объемы данных в рамках своих операций.

Связь с серверами управления (C2) часто осуществляется по нестандартным каналам, таким как использование облачных сервисов хранения данных, таких как Dropbox, для эксфильтрации данных, что помогает избежать обнаружения в рамках законного трафика. Широкое использование ими Зашифрованных каналов и методов маскировки вредоносных действий еще больше повышает их оперативную безопасность.

Тактика группы Lazarus постоянно развивается, что свидетельствует о неизменном стремлении адаптироваться к новым технологиям и методам обнаружения, что делает их значимым фактором в современной среде кибербезопасности.

#ParsedReport #CompletenessLow
19-10-2025

Technical Analysis Report on the Cyber Attack on the National Time Service Center by the U.S. National Security Agency

https://mp.weixin.qq.com/s/XPjT0BVOJPJxSmASW0tXTA

Report completeness: Medium

Actors/Campaigns:
Triangulation
Equation

Threats:
Ehome_0cx
Back_eleven
Dsz_implant
Danderspritz
Nopen

Victims:
National time service center

Geo:
China

IOCs:
File: 25
Registry: 1

Algorithms:
aes

#ParsedReport #ExtractedSchema

Classified images:
table: 7, dump: 5, schema: 1, code: 26, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибератака на Национальный центр обслуживания времени (NTSC) была осуществлена АНБ с использованием тактики сложных целенаправленных угроз (APT). Метод включал социальную инженерию и уязвимости zero-day для первоначального доступа, в то время как пользовательское вредоносное ПО использовалось для компрометации сети, включая запутывание, чтобы избежать обнаружения. Атака способствовала перемещению внутри компании, потенциально манипулируя функциональными возможностями протокола сетевого времени, что вызывает опасения по поводу будущей шпионской деятельности, нацеленной на критически важную инфраструктуру.
-----

В ходе недавней кибератаки на Национальный центр обслуживания времени (NTSC), которая была классифицирована органами национальной безопасности как серьезная, в качестве исполнителя было указано Агентство национальной безопасности США (АНБ). Анализ, проведенный Китайским центром реагирования на чрезвычайные ситуации в киберпространстве (CNCERT), показал, что операция была сложной и нацеленной на целостность и доступность критически важных служб хронометража NTSC.

В оценке CNCERT были изложены различные технические компоненты методологии атаки. Примечательно, что АНБ использовало тактику сложных целенаправленных угроз (APT), используя как социальную инженерию, так и уязвимости zero-day для получения первоначального доступа. Конкретные подробности, касающиеся использованных уязвимостей, не разглашаются; однако траектория атаки включала использование пользовательского вредоносного ПО, предназначенного для компрометации сетевой архитектуры NTSC. Считается, что это вредоносное ПО использовало методы обфускации, чтобы избежать обнаружения стандартными системами безопасности.

Оказавшись внутри сети, оперативники АНБ, вероятно, занялись перемещением внутри компании, чтобы получить контроль над несколькими системами, расширив свой доступ к конфиденциальным службам синхронизации времени. Это вторжение, возможно, было связано с манипуляцией функциональными возможностями протокола сетевого времени (NTP), которые имеют решающее значение для различных операций, зависящих от точного хронометража.

CNCERT отмечает, что последствия этого нарушения выходят за рамки немедленного нарушения работы сервиса. Атака демонстрирует тенденцию к росту кибервозможностей, которые нацелены на инфраструктуру, критически важную для национальной безопасности, и может послужить предлогом для продолжения кибершпионажа. Аналитики особенно обеспокоены потенциалом будущих атак, учитывая изощренность и стратегические намерения, стоящие за методами АНБ.

Этот инцидент демонстрирует необходимость повышенной бдительности среди организаций, использующих службы time services, что требует принятия надежных мер безопасности для обнаружения подобных сложных угроз и реагирования на них.

#ParsedReport #CompletenessLow
15-10-2025

Operation Zero Disco: Attackers Exploit Cisco SNMP Vulnerability to Deploy Rootkits

https://www.trendmicro.com/en_us/research/25/j/operation-zero-disco-cisco-snmp-vulnerability-exploit.html

Report completeness: Low

Actors/Campaigns:
Zero_disco

Threats:
Netcat_tool

Victims:
Network equipment

CVEs:
CVE-2025-20352 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-3881 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1190

IOCs:
Hash: 9
File: 8

Soft:
Linux, guest shell

Functions:
Get-Request