#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cloaked Shadow, входящая в Shadow Alliance, нацелена на российские фирмы, используя передовые инструменты вредоносного ПО, такие как ReverseSocks5 и обратные ssh-бэкдоры, позволяющие получить необнаруживаемый доступ к сетям жертв. Они также развертывают пользовательские дропперы, в том числе один, связанный с GOFFEE_LLoader. Кроме того, в 2025 году появился новый актор с самописным бэкдором, использующим DNS tunneling для управления, что указывает на растущую сложность киберугроз и методов, используемых злоумышленниками.
-----

Cloaked Shadow, идентифицированная как часть Shadow Alliance, действует по меньшей мере с 2023 года, ориентируясь в первую очередь на российские компании. Инструментарий группы включает в себя ряд вредоносных ПО и пользовательских инструментов, предназначенных для проксирования и туннелирования трафика, в частности ReverseSocks5 и обратные ssh-бэкдоры, которые позволяют злоумышленникам получать доступ к инфраструктуре жертвы с минимальными следами, оставляемыми в журналах операционной системы. Эти инструменты отлично подходят для построения необнаруживаемых внутренних сетевых туннелей.

Примечательно, что бэкдор ReverseSocks5 функционирует аналогично проекту GitHub с открытым исходным кодом, что указывает на потенциальное повторное использование кода. Инструмент обратного ssh позволяет злоумышленникам подключаться к прокси-серверу socks5 и устанавливать каналы связи внутри скомпрометированной сети. Злоумышленники также использовали пользовательские дропперы для запуска вредоносных полезных нагрузок непосредственно в памяти. Ярким примером такого подхода является загрузчик, связанный с ранее известной группой, называемой GOFFEE_LLoader.

Анализ показывает появление нового актора, которого можно идентифицировать по артефактам 2025 года. Этот актор использовал сложный, самописный бэкдор, который использует DNS tunneling для связи командования и контроля (C2), сильно запутанный, чтобы затруднить обнаружение. Этот бэкдор имеет сходство с бэкдором Vasilek и работает через DNS tunneling, что еще больше соответствует характеристикам группы Cyberpartisans-BY, которая была причастна к громким кибератакам против крупных российских фирм.

Инфраструктура вредоносного ПО обеспечивает различные возможности, такие как выполнение команд оболочки через "/bin/sh", создание подключений к прокси-серверам socks5 и управление несколькими сеансами как с серверами C2, так и с серверами socks5. Протокол для установления этих подключений включает отправку определенных кодов операций для передачи команд и статусов, связанных с сеансами оболочки и прокси-соединениями. Например, коды операций для выполнения асинхронных команд, закрытия сеансов и управления обменом данными между подпрограммами тщательно разработаны, чтобы обеспечить бесперебойную работу даже в сложной среде.

Полученные данные свидетельствуют о том, что Cloaked Shadow сохраняла постоянное присутствие в инфраструктурах жертв, несмотря на деятельность других групп, таких как GOFFEE, которые, по-видимому, прекратили свою деятельность. Это подчеркивает эволюцию методов атак и растущую изощренность злоумышленников в их долгосрочных стратегиях проведения кампаний.

#ParsedReport #CompletenessMedium
23-10-2025

RedTiger: New Red Teaming Tool in the Wild Targeting Gamers and Discord Accounts

https://www.netskope.com/blog/redtiger-new-red-teaming-tool-in-the-wild-targeting-gamers-and-discord-accounts

Report completeness: Medium

Threats:
Red_tiger
Cobalt_strike_tool
Procdump_tool
Process_hacker_tool
Nodestealer

Victims:
Gamers, Discord users, French speaking users

Industry:
Financial, Entertainment

Geo:
French

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1037.005, T1059.006, T1071.001, T1113, T1119, T1125, T1555.003, T1562.001, T1567.002, have more...

IOCs:
File: 4

Soft:
Discord, PyInstaller, Roblox, Linux, macOS, Visual studio, sysinternals, Process explorer, Stripe API, Google Chrome, have more...

Algorithms:
zip

Functions:
ImageGrab

Languages:
javascript, python

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/RedTiger/IOCs
have more...
https://github.com/loxy0dev/RedTiger-Tools

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RedTiger - это стиллер информации с открытым исходным кодом, ориентированный на геймеров и аккаунты Discord, известный своей сложной двухэтапной эксфильтрацией данных. Он работает кроссплатформенно, используя PyInstaller для двоичного развертывания в Windows, Linux и macOS, с механизмами закрепления для Windows и Linux, хотя в macOS ему не хватает надлежащих исполняемых файлов. Вредоносное ПО извлекает конфиденциальные данные, включая токены Discord, учетные данные браузера и информацию о криптовалюте, используя методы, позволяющие избежать обнаружения и собирать изображения с веб-камеры и экрана.
-----

RedTiger - это недавно обнаруженный стиллер информации с открытым исходным кодом, который стал серьезной угрозой, особенно для геймеров и аккаунтов Discord. Этот инструмент активно внедрялся, и в дикой природе были отмечены различные полезные нагрузки. Стиллер информации работает путем эксфильтрации украденных данных с помощью двухэтапного процесса. Первоначально он архивирует собранные данные, прежде чем загрузить их в облачное хранилище GoFile. Впоследствии злоумышленнику отправляется ссылка для скачивания с помощью веб-хука Discord, который предполагает, что целевые жертвы включают франкоязычных пользователей, основываясь на наличии французского языка в некоторых предупреждающих сообщениях.

Все наблюдаемые образцы RedTiger скомпилированы в виде двоичных файлов с использованием PyInstaller, что подчеркивает его широкие возможности на разных платформах, включая Windows, Linux и macOS (Darwin). В Windows он устанавливает закрепление, помещая полезную нагрузку в папку автозагрузки, гарантируя, что она будет выполнена при входе пользователя в систему. Для Linux, хотя он и переносит скрипт Python в папку автозапуска, ему не хватает необходимого файла .desktop для выполнения. Аналогично, в macOS он нацелен на папку LaunchAgents, но не включает необходимую конфигурацию .plist для корректной работы при входе в систему.

Стиллер нацелен на различные типы данных, включая конфиденциальную информацию Discord, такую как данные учетной записи и платежная информация. Он использует регулярные выражения для поиска как обычных, так и зашифрованных токенов Discord в требуемых файлах базы данных. Кроме того, он сканирует каталоги профилей пользователей на наличие определенных файлов, архивируя те, которые относятся к ключевым словам, и систематически нацеливается на информацию о криптовалютном кошельке, а также данные, связанные с игровыми приложениями. Примечательно, что инструмент также извлекает данные, связанные с браузером, включая сохраненные пароли, файлы cookie и информацию о кредитной карте, из нескольких браузеров.

Еще одним вызывающим беспокойство свойством RedTiger является его способность осуществлять массовую рассылку файлов и процессингового спама, что может затруднить судебно-медицинский анализ, заполняя систему многочисленными несущественными артефактами. Более того, стиллер использует методы обхода защиты, завершая свои процессы при обнаружении любых идентификаторов, связанных с изолированными средами.

Стиллер не только компрометирует конфиденциальную информацию, но и обладает возможностью захвата изображений с веб-камеры жертвы и экрана рабочего стола, используя для выполнения библиотеки OpenCV и Pillow. Эта функциональность еще больше повышает риск, создаваемый RedTiger, поскольку позволяет злоумышленникам собирать визуальную информацию от жертв. Поскольку RedTiger продолжает развиваться, его разработка и внедрение будут находиться под пристальным наблюдением сообщества по кибербезопасности.

#ParsedReport #CompletenessMedium
23-10-2025

F5 BIG-IP Source Code Leak Tied to State-Linked Campaigns Using BRICKSTORM Backdoor

https://www.resecurity.com/blog/article/f5-big-ip-source-code-leak-tied-to-state-linked-campaigns-using-brickstorm-backdoor

Report completeness: Medium

Actors/Campaigns:
Unc5221

Threats:
Brickstorm
Vmprotect_tool

Victims:
F5 big ip users, Federal networks

Industry:
Government

Geo:
China

CVEs:
CVE-2025-61938 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53521 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-48008 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

have more...

TTPs:
Tactics: 8
Technics: 16

IOCs:
Hash: 3

Soft:
BIG-IP, Unix, systemd

Algorithms:
base64, sha256

Languages:
golang

Platforms:
amd64, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кластер злоумышленников UNC5221, связанный с Китаем, использует уязвимости в продуктах F5 BIG-IP после серьезной утечки данных, в результате которой были скомпрометированы внутренние ресурсы разработки и исходный код. Они используют бэкдор BRICKSTORM и различные методы MITRE ATT&CK, включая T1190 для первоначального доступа и T1543.002 для закрепления, при этом используют зашифрованные коммуникации для командования и контроля и эксфильтрации данных. F5 выявила более двадцати уязвимостей в своих системах, повышающих риск эксплуатации.
-----

Связанный с Китаем кластер злоумышленников UNC5221 нацелен на организации, использующие продукты F5 BIG-IP, после утечки данных, в результате которой были украдены ресурсы внутренней разработки, включая части исходного кода BIG-IP и сведения об уязвимостях. Этот инцидент повысил риск быстрой эксплуатации из-за уязвимостей zero-day в службах управления, доступных через Интернет. После нарушения CISA издала экстренную директиву ED-26-01, в которой подчеркивалась необходимость немедленной инвентаризации, упрочнения и исправления поврежденных устройств.

Детальный анализ, проведенный Resecurity, выявил бэкдор BRICKSTORM, который является неотъемлемой частью методов атаки, используемых UNC5221. Расследование показало, что части скомпрометированного кода были получены из общедоступных репозиториев. Некоторые из этих хранилищ содержали вредоносный код, предназначенный для компрометации пользовательских систем. Векторы атак используют общедоступные возможности управления и служб F5 BIG-IP для получения начального выполнения кода, облегчая дальнейшую вредоносную деятельность.

Используя различные методы из платформы MITRE ATT&CK, злоумышленники выполнили эксплойты для получения доступа (T1190) и развертывания вредоносного файла ELF на устройстве BIG-IP. Процесс выполнения управляется параметрами runtime Command and Control (C2), чтобы избежать обнаружения. Закрепление достигается путем модификации модулей systemd, чтобы гарантировать запуск бэкдора при загрузке (T1543.002). Злоумышленники используют методы обхода защиты, такие как запутывание своих файлов и Маскировка сетевого трафика, чтобы исключить обнаружение (T1027, T1036).

Для получения учетных данных злоумышленники внедрили фильтр сервлетов для сбора учетных данных для входа в систему после компрометации (T1556). Использование прокси-сервера в стиле SOCKS для управления IP-адресом устройства (T1090), обеспечивающего доступ к внутренним службам и использующего Туннелирование протокола для консолидации трафика по единому защищенному каналу (T1572), облегчает перемещение внутри компании в сети.

Связь со скомпрометированными системами защищена через TLS с использованием протоколов HTTP/2 и WebSocket для длительных сеансов C2 (T1071.001, T1071.004). Эксфильтрация данных происходит посредством запросов данных в виде нескольких частей по установленным защищенным каналам, что не только защищает данные, но и маскирует их перемещение под обычный веб-трафик (T1041). Кроме того, потенциальные угрозы включают сжатие данных для снижения возможности обнаружения перед передачей (T1560).

В ответ на эти выводы F5 обнаружила более двадцати уязвимостей в различных модулях BIG-IP, F5OS и BIG-IP Next. Организациям, использующим уязвимые версии, настоятельно рекомендуется немедленно исправить свои системы, ограничить доступ общественности к интерфейсам управления и внедрить дополнительный мониторинг аномального трафика. Критический характер уязвимостей требует принятия срочных мер по защите от потенциальных эксплойтов.

#ParsedReport #CompletenessMedium
23-10-2025

Unpacking NetSupport RAT Loaders Delivered via ClickFix

https://www.esentire.com/blog/unpacking-netsupport-rat-loaders-delivered-via-clickfix

Report completeness: Medium

Actors/Campaigns:
Evalusion
Fshgdree32
Xmlctl
Uac-0050
Smartape_sg

Threats:
Netsupportmanager_rat
Clickfix_technique
Msi_loader
Lolbin_technique

Victims:
Ukrainian users

Geo:
Moldova, United kingdom, Russia, Ukrainians, Lithuania, California, Bulgaria, Arab emirates, United arab emirates

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1071.001, T1105, T1112, T1204.002, T1218.011, T1219

IOCs:
Hash: 27
Command: 2
File: 8
Url: 4
Path: 1
Domain: 44
IP: 27

Soft:
Curl

Algorithms:
sha256, zip, base64

Functions:
Remove_null_bytes

Win Services:
WebClient

Languages:
golang, powershell

YARA: Found

Links:
https://github.com/eSentire/iocs/blob/main/NetSupport/NetSupport\_PowerShell\_Unpacker.py
have more...
https://github.com/eSentire/iocs/blob/main/NetSupport/NetSupport-IoCs\_10-15-2025.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2025 году инциденты, связанные с NetSupport Manager, были связаны с тремя хакерскими группировками, которые перешли от "поддельных обновлений" к методам доставки "ClickFix", в основном с использованием загрузчиков на базе PowerShell. Один идентифицированный загрузчик (SHA256: a823031ba57...) запускает вредоносное ПО NetSupport, в то время как другой скрывает его выполнение. Кроме того, загрузчики на базе MSI используют LOLBin msiexec, а сетевой анализ выявляет действия command and control (C2), связанные с NetSupport's версии 1.92, с тремя различными кластерами кампаний, идентифицированными на основе параметров лицензии.
-----

В 2025 году серия инцидентов, связанных с менеджером NetSupport, была приписана трем отдельным хакерским группировкам, которые переходят от "поддельных обновлений" к более сложному подходу, известному как "ClickFix". Среди методов, используемых этими группами, особенно выделяются загрузчики на базе PowerShell. Один тип загрузчика PowerShell, идентифицируемый хэшем SHA256 a823031ba57d0e5f7ef15d63fe93a05ed00eadfd19afc7d2fed60f20e651a8bb, используется для удаления и запуска вредоносного ПО NetSupport.

Другой вариант загрузчика PowerShell выявил возможности скрытия доказательств его выполнения путем удаления соответствующих записей реестра из ключа RunMRU. Этот конкретный загрузчик был связан с кампаниями, связанными с лицензиатом "KAKAN", а также демонстрирует сходство в тактике, методах и процедурах (TTP) с кампаниями EVALUSION. Соответствующий файл для этого экземпляра имеет хэш SHA256 37d1d033e19cf9dc7313846d9d4026b03d2f822efccd963e5697e9633a4df0d0.

Менее распространенный метод предполагает использование загрузчиков на базе MSI. Они используют LOLBin msiexec для удаленной выборки и выполнения конфигураций установщика MSI для развертывания NetSupport с заметным хэшем файла d5b13eb9e8afb79b4d7830caf3ac746637e5bda1752962e5bd0aed3352cc4a42.

Анализ сетевого трафика выявляет действия командования и контроля (C2), связанные с серверами подключения NetSupport's, в частности, версии 1.92. Анализ показывает типичное взаимодействие, при котором клиент инициирует обмен данными, отправляя команду ОПРОСА.

Оценка угроз разделила обнаруженные действия на три отдельных кластера или кампании, каждая из которых идентифицируется по конкретной информации о лицензии в файлах "NSM.LIC". Первый кластер, связанный с кампанией "EVALUSION", демонстрирует использование общих параметров лицензии и использует как загрузчики на основе PowerShell, так и методы пакетной обработки файлов. Второй кластер связан с двумя связанными типами лицензий из кампании "FSHGDREE32/SGI", отображающей дублирование инфраструктуры и использующей аналогичные методы PowerShell. Наконец, считается, что кампания "XMLCTL" включает группу под названием "UAC-0050", ранее задокументированную как нацеленную на украинские организации с NetSupport.

В дополнение к подробному описанию этих методов eSentire создала утилиту автоматической распаковки, предназначенную для облегчения исследователям безопасности обработки различных вариантов полезной нагрузки PowerShell второго этапа для извлечения связанных конфигураций NetSupport и полезных нагрузок. Также упоминается правило Yara, которое может обнаруживать NetSupport как на диске, так и в памяти, предоставляя дополнительные ресурсы для идентификации угроз и их устранения.

#ParsedReport #CompletenessLow
23-10-2025

Help Wanted: Vietnamese Actors Using Fake Job Posting Campaigns to Deliver Malware and Steal Credentials

https://cloud.google.com/blog/topics/threat-intelligence/vietnamese-actors-fake-job-posting-campaigns/

Report completeness: Low

Actors/Campaigns:
Unc6229 (motivation: financially_motivated)

Victims:
Digital advertising and marketing sectors

Industry:
E-commerce

Geo:
Vietnamese, Vietnam

ChatGPT TTPs:
do not use without manual check
T1056.003, T1078, T1204, T1566.001, T1566.002, T1566.002, T1583.006

IOCs:
Domain: 1
Hash: 5

Soft:
Salesforce, Outlook

Algorithms:
zip

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка UNC6229 из Вьетнама проводит кампанию социальной инженерии, направленную против отдельных лиц в сфере цифровой рекламы и маркетинга с помощью мошеннических объявлений о приеме на работу. Эта атака включает создание поддельных профилей компаний для привлечения жертв и доставки полезных данных с помощью вложений вредоносного ПО или фишинг-ссылок. Последовательная тактика и поведение группы указывают на среду сотрудничества и растущее злоупотребление законными платформами SaaS и CRM, что создает проблемы для выявления, поскольку они совершенствуют свои методы и рассматривают возможность расширения в новых отраслях.
-----

Группа финансово мотивированных злоумышленников, известных как UNC6229, действующая из Вьетнама, участвует в сложной кампании социальной инженерии, нацеленной на отдельных лиц в секторах цифровой рекламы и маркетинга. Эти акторы используют поддельные объявления о вакансиях на законных платформах трудоустройства и своих собственных сайтах по трудоустройству, чтобы заманить потенциальных жертв. Кампания использует доверие к процессу подачи заявления о приеме на работу, что приводит к компрометации корпоративных аккаунтов с акцентом на захват учетных записей цифровой рекламы.

Методология атаки включает в себя создание профилей мошеннических компаний, часто выдающих себя за агентства цифровых медиа, для рекламы привлекательных возможностей трудоустройства, которые находят отклик у их целевой аудитории. Взаимодействие начинается, когда жертвы подают заявки на эти вакансии; затем UNC6229 инициирует контакт по электронной почте или прямым сообщениям, иногда используя коммерческие CRM-инструменты для массовой рассылки по электронной почте. Эта первоначальная разъяснительная работа специально разработана для установления взаимопонимания, обычно избегая каких-либо привязанностей или связей, чтобы общение казалось безобидным.

Ключевым этапом кампании является доставка полезной нагрузки, когда злоумышленники отправляют либо вложение, содержащее вредоносное ПО, либо ссылку, направляющую жертв на страницы фишинга. Эта тактика подчеркивает хорошо структурированную цепочку атак: первоначальное применение, личное взаимодействие и последующая доставка полезной нагрузки. Тактика фишинга, используемая UNC6229, является изощренной и часто имитирует законные процессы для получения конфиденциальных корпоративных учетных данных от жертв.

Принадлежность к этой группе усиливается благодаря последовательному использованию общих тактик, методов и процедур (TTP) в различных инцидентах, что указывает на среду сотрудничества, в которой происходит обмен инструментами и стратегиями. Тенденции указывают на то, что растет число случаев злоупотребления законными платформами SaaS и CRM в злонамеренных целях, что создает проблемы для традиционных механизмов обнаружения.

Заглядывая в будущее, ожидается, что UNC6229 продолжит совершенствовать свою тактику социальной инженерии, потенциально расширяя свою ориентацию на дополнительные отрасли, где сотрудники имеют доступ к ценным корпоративным активам. Устойчивый характер их кампании подчеркивает риски, связанные с социальной инженерией, особенно поскольку она использует обычное человеческое поведение и потребности в поиске работы, что делает ее постоянной угрозой в киберпространстве.

#ParsedReport #CompletenessLow
24-10-2025

Teams Transcript Page Lure Delivers GoTo RMM

https://malasada.tech/teams-transcript-page-lure-delivers-goto-rmm/

Report completeness: Low

Threats:
Goto_rmm_tool
Oyster

Victims:
Microsoft teams users

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1566, T1608.004

IOCs:
Domain: 5
Url: 1
File: 1
Hash: 1

Soft:
Microsoft Teams

Algorithms:
sha256

Links:
https://github.com/MalasadaTech/ioc-comparer

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Возникла киберугроза, связанная с вводящей в заблуждение страницей загрузки, которая якобы предлагает расшифровку Microsoft Teams, но на самом деле предоставляет установщик GoTo Remote Monitoring and Management (RMM). Эта тактика основана на более раннем использовании поддельных команд-приманок, ранее связанных с распространением вредоносного ПО Oyster. На странице используются меры по борьбе с ботами, такие как включение кнопки загрузки только после задержки и мониторинг пользовательских взаимодействий, чтобы эффективно нацеливаться на ничего не подозревающих пользователей и компрометировать их.
-----

В анализе подробно описана киберугроза, связанная с вводящей в заблуждение страницей загрузки, Маскировкой под загрузку стенограммы Microsoft Teams. Эта приманка специально разработана для доставки программы установки GoTo Remote Monitoring and Management (RMM) ничего не подозревающим пользователям. Этот метод является продолжением ранее описанной тактики, когда поддельные приманки Microsoft Teams использовались для распространения вредоносного ПО Oyster, которое теперь используется для использования платформы Teams для другой вредоносной нагрузки.

Страница lure включает в себя несколько мер по борьбе с ботами, чтобы отфильтровать подлинных пользователей от автоматизированных скриптов. Характерной особенностью является скрытое текстовое поле, которое отслеживает ответы. Изначально кнопка загрузки на странице отключена и становится активной только после двухсекундной задержки. Если пользователь попытается нажать на кнопку до истечения двух секунд или если скрытое текстовое поле содержит какой-либо текст, пользователь перенаправляется на страницу Facebook, фактически избегая доставки вредоносной полезной нагрузки. И наоборот, если взаимодействие кажется законным, на странице отображается ссылка для скачивания GoTo RMM, что ставит под угрозу систему пользователя.

Эта тактика указывает на изощренный подход злоумышленников, которые умело используют социальную инженерию на надежных платформах, таких как Microsoft Teams. Используя знакомые среды и комбинацию механизмов синхронизации и проверки поведения пользователей, злоумышленники могут значительно повысить вероятность успешной доставки вредоносного ПО своим целям. Использование хорошо известных программных средств, таких как GoTo RMM, также подчеркивает продолжающуюся тенденцию смешивания законного программного обеспечения со злонамеренными намерениями с целью обмана пользователей. Тщательный дизайн этой приманки служит напоминанием о меняющемся ландшафте киберугроз, когда злоумышленники постоянно совершенствуют свои методы обхода мер безопасности и нацеливаются на отдельных лиц в корпоративной инфраструктуре.

#ParsedReport #CompletenessLow
24-10-2025

Anatomy of the Red Hat Intrusion: Crimson Collective and SLSH Extortions

https://www.seqrite.com/blog/anatomy-of-the-red-hat-intrusion-crimson-collective-and-slsh-extortions/

Report completeness: Low

Actors/Campaigns:
Crimson_collective
Scattered_lapsus_hunters
0ktapus
Shinyhunters
Unc6040
Shiny_spider
Unc6240

Threats:
Clop
Asyncrat

Victims:
Salesforce ecosystem, Discord users, Oracle e business suite users

Industry:
Government, Aerospace, Entertainment, Telco

Geo:
Vietnam, Indian

CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-10725 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1133, T1204, T1566.004

IOCs:
Domain: 1

Soft:
Telegram, Discord, Salesforce, Jupyter notebooks, Active Directory

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, chats: 1, code: 3, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года появилась группа "Scattered LAPSUS$ Hunters", связанная с известными киберпреступными организациями и использующая хаотичные методы, похожие на LAPSUS$. Они угрожали опубликовать данные, связанные с Salesforce, из-за неоплаченных выкупов и продемонстрировали зависимость от социальной инженерии vishing для манипулирования сотрудниками с целью установки вредоносных приложений. Кроме того, они воспользовались критической уязвимостью zero-day (CVE-2025-61882) в Oracle E-Business Suite для удаленного выполнения кода и скомпрометировали стороннего поставщика, связанного с Discord, похитив идентификационные данные пользователей и конфиденциальную информацию.
-----

В августе 2025 года группа под названием "Scattered LAPSUS$ Hunters" появилась через Telegram-канал, утверждая, что ведет свое происхождение от известных киберпреступных организаций, включая Scattered Spider, ShinyHunters и LAPSUS$. Их деятельность возродила хаотичную методологию, ранее использовавшуюся в LAPSUS$, наглядно демонстрирующую тенденцию к разглашению украденных данных и предъявлению требований о выкупе. Эта группа подозревается в сотрудничестве с акторами из “The Com”, подпольной сети, которая затрудняет отслеживание их личностей и инструментов.

В недавних сообщениях этой группы указывалось на угрозы опубликовать данные, связанные с Salesforce, если требования о выкупе не будут выполнены до 10 октября. Более того, они намекнули на возможные дальнейшие атаки, нацеленные на экосистему Salesloft. Расследования их деятельности показывают сильную зависимость от тактики социальной инженерии, основанной на вишинге. Они манипулируют сотрудниками, заставляя их устанавливать мошеннические приложения Salesforce Data Loader или одобрять вредоносные подключенные приложения, что позволяет им получать доступ к конфиденциальным данным. Это подчеркивает важный фактор их успеха: человеческий фактор в противовес уязвимостям программного обеспечения.

Другой ключевой аспект их деятельности связан с уязвимостью zero-day, идентифицированной как CVE-2025-61882, в Oracle E-Business Suite. Этот критический эксплойт позволяет выполнять удаленный код без проверки подлинности по сети, что представляет серьезную опасность, поскольку для него не требуются учетные данные пользователя.

В ходе связанного с этим инцидента, произошедшего 20 сентября, хакеры взломали стороннего поставщика услуг поддержки, связанного с Discord, что привело к краже идентификационных данных пользователей, платежной информации и удостоверений личности, выданных правительством, у некоторых пользователей, взаимодействующих со службами поддержки клиентов.