CTT Report Hub
#ParsedReport #CompletenessMedium 23-10-2025 F5 BIG-IP Source Code Leak Tied to State-Linked Campaigns Using BRICKSTORM Backdoor https://www.resecurity.com/blog/article/f5-big-ip-source-code-leak-tied-to-state-linked-campaigns-using-brickstorm-backdoor …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кластер злоумышленников UNC5221, связанный с Китаем, использует уязвимости в продуктах F5 BIG-IP после серьезной утечки данных, в результате которой были скомпрометированы внутренние ресурсы разработки и исходный код. Они используют бэкдор BRICKSTORM и различные методы MITRE ATT&CK, включая T1190 для первоначального доступа и T1543.002 для закрепления, при этом используют зашифрованные коммуникации для командования и контроля и эксфильтрации данных. F5 выявила более двадцати уязвимостей в своих системах, повышающих риск эксплуатации.
-----
Связанный с Китаем кластер злоумышленников UNC5221 нацелен на организации, использующие продукты F5 BIG-IP, после утечки данных, в результате которой были украдены ресурсы внутренней разработки, включая части исходного кода BIG-IP и сведения об уязвимостях. Этот инцидент повысил риск быстрой эксплуатации из-за уязвимостей zero-day в службах управления, доступных через Интернет. После нарушения CISA издала экстренную директиву ED-26-01, в которой подчеркивалась необходимость немедленной инвентаризации, упрочнения и исправления поврежденных устройств.
Детальный анализ, проведенный Resecurity, выявил бэкдор BRICKSTORM, который является неотъемлемой частью методов атаки, используемых UNC5221. Расследование показало, что части скомпрометированного кода были получены из общедоступных репозиториев. Некоторые из этих хранилищ содержали вредоносный код, предназначенный для компрометации пользовательских систем. Векторы атак используют общедоступные возможности управления и служб F5 BIG-IP для получения начального выполнения кода, облегчая дальнейшую вредоносную деятельность.
Используя различные методы из платформы MITRE ATT&CK, злоумышленники выполнили эксплойты для получения доступа (T1190) и развертывания вредоносного файла ELF на устройстве BIG-IP. Процесс выполнения управляется параметрами runtime Command and Control (C2), чтобы избежать обнаружения. Закрепление достигается путем модификации модулей systemd, чтобы гарантировать запуск бэкдора при загрузке (T1543.002). Злоумышленники используют методы обхода защиты, такие как запутывание своих файлов и Маскировка сетевого трафика, чтобы исключить обнаружение (T1027, T1036).
Для получения учетных данных злоумышленники внедрили фильтр сервлетов для сбора учетных данных для входа в систему после компрометации (T1556). Использование прокси-сервера в стиле SOCKS для управления IP-адресом устройства (T1090), обеспечивающего доступ к внутренним службам и использующего Туннелирование протокола для консолидации трафика по единому защищенному каналу (T1572), облегчает перемещение внутри компании в сети.
Связь со скомпрометированными системами защищена через TLS с использованием протоколов HTTP/2 и WebSocket для длительных сеансов C2 (T1071.001, T1071.004). Эксфильтрация данных происходит посредством запросов данных в виде нескольких частей по установленным защищенным каналам, что не только защищает данные, но и маскирует их перемещение под обычный веб-трафик (T1041). Кроме того, потенциальные угрозы включают сжатие данных для снижения возможности обнаружения перед передачей (T1560).
В ответ на эти выводы F5 обнаружила более двадцати уязвимостей в различных модулях BIG-IP, F5OS и BIG-IP Next. Организациям, использующим уязвимые версии, настоятельно рекомендуется немедленно исправить свои системы, ограничить доступ общественности к интерфейсам управления и внедрить дополнительный мониторинг аномального трафика. Критический характер уязвимостей требует принятия срочных мер по защите от потенциальных эксплойтов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кластер злоумышленников UNC5221, связанный с Китаем, использует уязвимости в продуктах F5 BIG-IP после серьезной утечки данных, в результате которой были скомпрометированы внутренние ресурсы разработки и исходный код. Они используют бэкдор BRICKSTORM и различные методы MITRE ATT&CK, включая T1190 для первоначального доступа и T1543.002 для закрепления, при этом используют зашифрованные коммуникации для командования и контроля и эксфильтрации данных. F5 выявила более двадцати уязвимостей в своих системах, повышающих риск эксплуатации.
-----
Связанный с Китаем кластер злоумышленников UNC5221 нацелен на организации, использующие продукты F5 BIG-IP, после утечки данных, в результате которой были украдены ресурсы внутренней разработки, включая части исходного кода BIG-IP и сведения об уязвимостях. Этот инцидент повысил риск быстрой эксплуатации из-за уязвимостей zero-day в службах управления, доступных через Интернет. После нарушения CISA издала экстренную директиву ED-26-01, в которой подчеркивалась необходимость немедленной инвентаризации, упрочнения и исправления поврежденных устройств.
Детальный анализ, проведенный Resecurity, выявил бэкдор BRICKSTORM, который является неотъемлемой частью методов атаки, используемых UNC5221. Расследование показало, что части скомпрометированного кода были получены из общедоступных репозиториев. Некоторые из этих хранилищ содержали вредоносный код, предназначенный для компрометации пользовательских систем. Векторы атак используют общедоступные возможности управления и служб F5 BIG-IP для получения начального выполнения кода, облегчая дальнейшую вредоносную деятельность.
Используя различные методы из платформы MITRE ATT&CK, злоумышленники выполнили эксплойты для получения доступа (T1190) и развертывания вредоносного файла ELF на устройстве BIG-IP. Процесс выполнения управляется параметрами runtime Command and Control (C2), чтобы избежать обнаружения. Закрепление достигается путем модификации модулей systemd, чтобы гарантировать запуск бэкдора при загрузке (T1543.002). Злоумышленники используют методы обхода защиты, такие как запутывание своих файлов и Маскировка сетевого трафика, чтобы исключить обнаружение (T1027, T1036).
Для получения учетных данных злоумышленники внедрили фильтр сервлетов для сбора учетных данных для входа в систему после компрометации (T1556). Использование прокси-сервера в стиле SOCKS для управления IP-адресом устройства (T1090), обеспечивающего доступ к внутренним службам и использующего Туннелирование протокола для консолидации трафика по единому защищенному каналу (T1572), облегчает перемещение внутри компании в сети.
Связь со скомпрометированными системами защищена через TLS с использованием протоколов HTTP/2 и WebSocket для длительных сеансов C2 (T1071.001, T1071.004). Эксфильтрация данных происходит посредством запросов данных в виде нескольких частей по установленным защищенным каналам, что не только защищает данные, но и маскирует их перемещение под обычный веб-трафик (T1041). Кроме того, потенциальные угрозы включают сжатие данных для снижения возможности обнаружения перед передачей (T1560).
В ответ на эти выводы F5 обнаружила более двадцати уязвимостей в различных модулях BIG-IP, F5OS и BIG-IP Next. Организациям, использующим уязвимые версии, настоятельно рекомендуется немедленно исправить свои системы, ограничить доступ общественности к интерфейсам управления и внедрить дополнительный мониторинг аномального трафика. Критический характер уязвимостей требует принятия срочных мер по защите от потенциальных эксплойтов.
#ParsedReport #CompletenessMedium
23-10-2025
Unpacking NetSupport RAT Loaders Delivered via ClickFix
https://www.esentire.com/blog/unpacking-netsupport-rat-loaders-delivered-via-clickfix
Report completeness: Medium
Actors/Campaigns:
Evalusion
Fshgdree32
Xmlctl
Uac-0050
Smartape_sg
Threats:
Netsupportmanager_rat
Clickfix_technique
Msi_loader
Lolbin_technique
Victims:
Ukrainian users
Geo:
Moldova, United kingdom, Russia, Ukrainians, Lithuania, California, Bulgaria, Arab emirates, United arab emirates
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1059.001, T1071.001, T1105, T1112, T1204.002, T1218.011, T1219
IOCs:
Hash: 27
Command: 2
File: 8
Url: 4
Path: 1
Domain: 44
IP: 27
Soft:
Curl
Algorithms:
sha256, zip, base64
Functions:
Remove_null_bytes
Win Services:
WebClient
Languages:
golang, powershell
YARA: Found
Links:
have more...
23-10-2025
Unpacking NetSupport RAT Loaders Delivered via ClickFix
https://www.esentire.com/blog/unpacking-netsupport-rat-loaders-delivered-via-clickfix
Report completeness: Medium
Actors/Campaigns:
Evalusion
Fshgdree32
Xmlctl
Uac-0050
Smartape_sg
Threats:
Netsupportmanager_rat
Clickfix_technique
Msi_loader
Lolbin_technique
Victims:
Ukrainian users
Geo:
Moldova, United kingdom, Russia, Ukrainians, Lithuania, California, Bulgaria, Arab emirates, United arab emirates
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1059.001, T1071.001, T1105, T1112, T1204.002, T1218.011, T1219
IOCs:
Hash: 27
Command: 2
File: 8
Url: 4
Path: 1
Domain: 44
IP: 27
Soft:
Curl
Algorithms:
sha256, zip, base64
Functions:
Remove_null_bytes
Win Services:
WebClient
Languages:
golang, powershell
YARA: Found
Links:
https://github.com/eSentire/iocs/blob/main/NetSupport/NetSupport\_PowerShell\_Unpacker.pyhave more...
https://github.com/eSentire/iocs/blob/main/NetSupport/NetSupport-IoCs\_10-15-2025.txteSentire
Unpacking NetSupport RAT Loaders Delivered via ClickFix
Learn how eSentire's Threat Response Unit reveals three sophisticated threat groups exploiting NetSupport Manager through ClickFix, uncovering critical…
CTT Report Hub
#ParsedReport #CompletenessMedium 23-10-2025 Unpacking NetSupport RAT Loaders Delivered via ClickFix https://www.esentire.com/blog/unpacking-netsupport-rat-loaders-delivered-via-clickfix Report completeness: Medium Actors/Campaigns: Evalusion Fshgdree32…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В 2025 году инциденты, связанные с NetSupport Manager, были связаны с тремя хакерскими группировками, которые перешли от "поддельных обновлений" к методам доставки "ClickFix", в основном с использованием загрузчиков на базе PowerShell. Один идентифицированный загрузчик (SHA256: a823031ba57...) запускает вредоносное ПО NetSupport, в то время как другой скрывает его выполнение. Кроме того, загрузчики на базе MSI используют LOLBin msiexec, а сетевой анализ выявляет действия command and control (C2), связанные с NetSupport's версии 1.92, с тремя различными кластерами кампаний, идентифицированными на основе параметров лицензии.
-----
В 2025 году серия инцидентов, связанных с менеджером NetSupport, была приписана трем отдельным хакерским группировкам, которые переходят от "поддельных обновлений" к более сложному подходу, известному как "ClickFix". Среди методов, используемых этими группами, особенно выделяются загрузчики на базе PowerShell. Один тип загрузчика PowerShell, идентифицируемый хэшем SHA256 a823031ba57d0e5f7ef15d63fe93a05ed00eadfd19afc7d2fed60f20e651a8bb, используется для удаления и запуска вредоносного ПО NetSupport.
Другой вариант загрузчика PowerShell выявил возможности скрытия доказательств его выполнения путем удаления соответствующих записей реестра из ключа RunMRU. Этот конкретный загрузчик был связан с кампаниями, связанными с лицензиатом "KAKAN", а также демонстрирует сходство в тактике, методах и процедурах (TTP) с кампаниями EVALUSION. Соответствующий файл для этого экземпляра имеет хэш SHA256 37d1d033e19cf9dc7313846d9d4026b03d2f822efccd963e5697e9633a4df0d0.
Менее распространенный метод предполагает использование загрузчиков на базе MSI. Они используют LOLBin msiexec для удаленной выборки и выполнения конфигураций установщика MSI для развертывания NetSupport с заметным хэшем файла d5b13eb9e8afb79b4d7830caf3ac746637e5bda1752962e5bd0aed3352cc4a42.
Анализ сетевого трафика выявляет действия командования и контроля (C2), связанные с серверами подключения NetSupport's, в частности, версии 1.92. Анализ показывает типичное взаимодействие, при котором клиент инициирует обмен данными, отправляя команду ОПРОСА.
Оценка угроз разделила обнаруженные действия на три отдельных кластера или кампании, каждая из которых идентифицируется по конкретной информации о лицензии в файлах "NSM.LIC". Первый кластер, связанный с кампанией "EVALUSION", демонстрирует использование общих параметров лицензии и использует как загрузчики на основе PowerShell, так и методы пакетной обработки файлов. Второй кластер связан с двумя связанными типами лицензий из кампании "FSHGDREE32/SGI", отображающей дублирование инфраструктуры и использующей аналогичные методы PowerShell. Наконец, считается, что кампания "XMLCTL" включает группу под названием "UAC-0050", ранее задокументированную как нацеленную на украинские организации с NetSupport.
В дополнение к подробному описанию этих методов eSentire создала утилиту автоматической распаковки, предназначенную для облегчения исследователям безопасности обработки различных вариантов полезной нагрузки PowerShell второго этапа для извлечения связанных конфигураций NetSupport и полезных нагрузок. Также упоминается правило Yara, которое может обнаруживать NetSupport как на диске, так и в памяти, предоставляя дополнительные ресурсы для идентификации угроз и их устранения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В 2025 году инциденты, связанные с NetSupport Manager, были связаны с тремя хакерскими группировками, которые перешли от "поддельных обновлений" к методам доставки "ClickFix", в основном с использованием загрузчиков на базе PowerShell. Один идентифицированный загрузчик (SHA256: a823031ba57...) запускает вредоносное ПО NetSupport, в то время как другой скрывает его выполнение. Кроме того, загрузчики на базе MSI используют LOLBin msiexec, а сетевой анализ выявляет действия command and control (C2), связанные с NetSupport's версии 1.92, с тремя различными кластерами кампаний, идентифицированными на основе параметров лицензии.
-----
В 2025 году серия инцидентов, связанных с менеджером NetSupport, была приписана трем отдельным хакерским группировкам, которые переходят от "поддельных обновлений" к более сложному подходу, известному как "ClickFix". Среди методов, используемых этими группами, особенно выделяются загрузчики на базе PowerShell. Один тип загрузчика PowerShell, идентифицируемый хэшем SHA256 a823031ba57d0e5f7ef15d63fe93a05ed00eadfd19afc7d2fed60f20e651a8bb, используется для удаления и запуска вредоносного ПО NetSupport.
Другой вариант загрузчика PowerShell выявил возможности скрытия доказательств его выполнения путем удаления соответствующих записей реестра из ключа RunMRU. Этот конкретный загрузчик был связан с кампаниями, связанными с лицензиатом "KAKAN", а также демонстрирует сходство в тактике, методах и процедурах (TTP) с кампаниями EVALUSION. Соответствующий файл для этого экземпляра имеет хэш SHA256 37d1d033e19cf9dc7313846d9d4026b03d2f822efccd963e5697e9633a4df0d0.
Менее распространенный метод предполагает использование загрузчиков на базе MSI. Они используют LOLBin msiexec для удаленной выборки и выполнения конфигураций установщика MSI для развертывания NetSupport с заметным хэшем файла d5b13eb9e8afb79b4d7830caf3ac746637e5bda1752962e5bd0aed3352cc4a42.
Анализ сетевого трафика выявляет действия командования и контроля (C2), связанные с серверами подключения NetSupport's, в частности, версии 1.92. Анализ показывает типичное взаимодействие, при котором клиент инициирует обмен данными, отправляя команду ОПРОСА.
Оценка угроз разделила обнаруженные действия на три отдельных кластера или кампании, каждая из которых идентифицируется по конкретной информации о лицензии в файлах "NSM.LIC". Первый кластер, связанный с кампанией "EVALUSION", демонстрирует использование общих параметров лицензии и использует как загрузчики на основе PowerShell, так и методы пакетной обработки файлов. Второй кластер связан с двумя связанными типами лицензий из кампании "FSHGDREE32/SGI", отображающей дублирование инфраструктуры и использующей аналогичные методы PowerShell. Наконец, считается, что кампания "XMLCTL" включает группу под названием "UAC-0050", ранее задокументированную как нацеленную на украинские организации с NetSupport.
В дополнение к подробному описанию этих методов eSentire создала утилиту автоматической распаковки, предназначенную для облегчения исследователям безопасности обработки различных вариантов полезной нагрузки PowerShell второго этапа для извлечения связанных конфигураций NetSupport и полезных нагрузок. Также упоминается правило Yara, которое может обнаруживать NetSupport как на диске, так и в памяти, предоставляя дополнительные ресурсы для идентификации угроз и их устранения.
#ParsedReport #CompletenessLow
23-10-2025
Help Wanted: Vietnamese Actors Using Fake Job Posting Campaigns to Deliver Malware and Steal Credentials
https://cloud.google.com/blog/topics/threat-intelligence/vietnamese-actors-fake-job-posting-campaigns/
Report completeness: Low
Actors/Campaigns:
Unc6229 (motivation: financially_motivated)
Victims:
Digital advertising and marketing sectors
Industry:
E-commerce
Geo:
Vietnamese, Vietnam
ChatGPT TTPs:
T1056.003, T1078, T1204, T1566.001, T1566.002, T1566.002, T1583.006
IOCs:
Domain: 1
Hash: 5
Soft:
Salesforce, Outlook
Algorithms:
zip
23-10-2025
Help Wanted: Vietnamese Actors Using Fake Job Posting Campaigns to Deliver Malware and Steal Credentials
https://cloud.google.com/blog/topics/threat-intelligence/vietnamese-actors-fake-job-posting-campaigns/
Report completeness: Low
Actors/Campaigns:
Unc6229 (motivation: financially_motivated)
Victims:
Digital advertising and marketing sectors
Industry:
E-commerce
Geo:
Vietnamese, Vietnam
ChatGPT TTPs:
do not use without manual checkT1056.003, T1078, T1204, T1566.001, T1566.002, T1566.002, T1583.006
IOCs:
Domain: 1
Hash: 5
Soft:
Salesforce, Outlook
Algorithms:
zip
Google Cloud Blog
Help Wanted: Vietnamese Actors Using Fake Job Posting Campaigns to Deliver Malware and Steal Credentials | Google Cloud Blog
Financially motivated actors are using fake job postings on legitimate platforms to target the digital advertising and marketing sectors.
CTT Report Hub
#ParsedReport #CompletenessLow 23-10-2025 Help Wanted: Vietnamese Actors Using Fake Job Posting Campaigns to Deliver Malware and Steal Credentials https://cloud.google.com/blog/topics/threat-intelligence/vietnamese-actors-fake-job-posting-campaigns/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакерская группировка UNC6229 из Вьетнама проводит кампанию социальной инженерии, направленную против отдельных лиц в сфере цифровой рекламы и маркетинга с помощью мошеннических объявлений о приеме на работу. Эта атака включает создание поддельных профилей компаний для привлечения жертв и доставки полезных данных с помощью вложений вредоносного ПО или фишинг-ссылок. Последовательная тактика и поведение группы указывают на среду сотрудничества и растущее злоупотребление законными платформами SaaS и CRM, что создает проблемы для выявления, поскольку они совершенствуют свои методы и рассматривают возможность расширения в новых отраслях.
-----
Группа финансово мотивированных злоумышленников, известных как UNC6229, действующая из Вьетнама, участвует в сложной кампании социальной инженерии, нацеленной на отдельных лиц в секторах цифровой рекламы и маркетинга. Эти акторы используют поддельные объявления о вакансиях на законных платформах трудоустройства и своих собственных сайтах по трудоустройству, чтобы заманить потенциальных жертв. Кампания использует доверие к процессу подачи заявления о приеме на работу, что приводит к компрометации корпоративных аккаунтов с акцентом на захват учетных записей цифровой рекламы.
Методология атаки включает в себя создание профилей мошеннических компаний, часто выдающих себя за агентства цифровых медиа, для рекламы привлекательных возможностей трудоустройства, которые находят отклик у их целевой аудитории. Взаимодействие начинается, когда жертвы подают заявки на эти вакансии; затем UNC6229 инициирует контакт по электронной почте или прямым сообщениям, иногда используя коммерческие CRM-инструменты для массовой рассылки по электронной почте. Эта первоначальная разъяснительная работа специально разработана для установления взаимопонимания, обычно избегая каких-либо привязанностей или связей, чтобы общение казалось безобидным.
Ключевым этапом кампании является доставка полезной нагрузки, когда злоумышленники отправляют либо вложение, содержащее вредоносное ПО, либо ссылку, направляющую жертв на страницы фишинга. Эта тактика подчеркивает хорошо структурированную цепочку атак: первоначальное применение, личное взаимодействие и последующая доставка полезной нагрузки. Тактика фишинга, используемая UNC6229, является изощренной и часто имитирует законные процессы для получения конфиденциальных корпоративных учетных данных от жертв.
Принадлежность к этой группе усиливается благодаря последовательному использованию общих тактик, методов и процедур (TTP) в различных инцидентах, что указывает на среду сотрудничества, в которой происходит обмен инструментами и стратегиями. Тенденции указывают на то, что растет число случаев злоупотребления законными платформами SaaS и CRM в злонамеренных целях, что создает проблемы для традиционных механизмов обнаружения.
Заглядывая в будущее, ожидается, что UNC6229 продолжит совершенствовать свою тактику социальной инженерии, потенциально расширяя свою ориентацию на дополнительные отрасли, где сотрудники имеют доступ к ценным корпоративным активам. Устойчивый характер их кампании подчеркивает риски, связанные с социальной инженерией, особенно поскольку она использует обычное человеческое поведение и потребности в поиске работы, что делает ее постоянной угрозой в киберпространстве.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакерская группировка UNC6229 из Вьетнама проводит кампанию социальной инженерии, направленную против отдельных лиц в сфере цифровой рекламы и маркетинга с помощью мошеннических объявлений о приеме на работу. Эта атака включает создание поддельных профилей компаний для привлечения жертв и доставки полезных данных с помощью вложений вредоносного ПО или фишинг-ссылок. Последовательная тактика и поведение группы указывают на среду сотрудничества и растущее злоупотребление законными платформами SaaS и CRM, что создает проблемы для выявления, поскольку они совершенствуют свои методы и рассматривают возможность расширения в новых отраслях.
-----
Группа финансово мотивированных злоумышленников, известных как UNC6229, действующая из Вьетнама, участвует в сложной кампании социальной инженерии, нацеленной на отдельных лиц в секторах цифровой рекламы и маркетинга. Эти акторы используют поддельные объявления о вакансиях на законных платформах трудоустройства и своих собственных сайтах по трудоустройству, чтобы заманить потенциальных жертв. Кампания использует доверие к процессу подачи заявления о приеме на работу, что приводит к компрометации корпоративных аккаунтов с акцентом на захват учетных записей цифровой рекламы.
Методология атаки включает в себя создание профилей мошеннических компаний, часто выдающих себя за агентства цифровых медиа, для рекламы привлекательных возможностей трудоустройства, которые находят отклик у их целевой аудитории. Взаимодействие начинается, когда жертвы подают заявки на эти вакансии; затем UNC6229 инициирует контакт по электронной почте или прямым сообщениям, иногда используя коммерческие CRM-инструменты для массовой рассылки по электронной почте. Эта первоначальная разъяснительная работа специально разработана для установления взаимопонимания, обычно избегая каких-либо привязанностей или связей, чтобы общение казалось безобидным.
Ключевым этапом кампании является доставка полезной нагрузки, когда злоумышленники отправляют либо вложение, содержащее вредоносное ПО, либо ссылку, направляющую жертв на страницы фишинга. Эта тактика подчеркивает хорошо структурированную цепочку атак: первоначальное применение, личное взаимодействие и последующая доставка полезной нагрузки. Тактика фишинга, используемая UNC6229, является изощренной и часто имитирует законные процессы для получения конфиденциальных корпоративных учетных данных от жертв.
Принадлежность к этой группе усиливается благодаря последовательному использованию общих тактик, методов и процедур (TTP) в различных инцидентах, что указывает на среду сотрудничества, в которой происходит обмен инструментами и стратегиями. Тенденции указывают на то, что растет число случаев злоупотребления законными платформами SaaS и CRM в злонамеренных целях, что создает проблемы для традиционных механизмов обнаружения.
Заглядывая в будущее, ожидается, что UNC6229 продолжит совершенствовать свою тактику социальной инженерии, потенциально расширяя свою ориентацию на дополнительные отрасли, где сотрудники имеют доступ к ценным корпоративным активам. Устойчивый характер их кампании подчеркивает риски, связанные с социальной инженерией, особенно поскольку она использует обычное человеческое поведение и потребности в поиске работы, что делает ее постоянной угрозой в киберпространстве.
#ParsedReport #CompletenessLow
24-10-2025
Teams Transcript Page Lure Delivers GoTo RMM
https://malasada.tech/teams-transcript-page-lure-delivers-goto-rmm/
Report completeness: Low
Threats:
Goto_rmm_tool
Oyster
Victims:
Microsoft teams users
ChatGPT TTPs:
T1036, T1204, T1566, T1608.004
IOCs:
Domain: 5
Url: 1
File: 1
Hash: 1
Soft:
Microsoft Teams
Algorithms:
sha256
Links:
24-10-2025
Teams Transcript Page Lure Delivers GoTo RMM
https://malasada.tech/teams-transcript-page-lure-delivers-goto-rmm/
Report completeness: Low
Threats:
Goto_rmm_tool
Oyster
Victims:
Microsoft teams users
ChatGPT TTPs:
do not use without manual checkT1036, T1204, T1566, T1608.004
IOCs:
Domain: 5
Url: 1
File: 1
Hash: 1
Soft:
Microsoft Teams
Algorithms:
sha256
Links:
https://github.com/MalasadaTech/ioc-comparerMalasada Tech
Teams Transcript Page Lure Delivers GoTo RMM - Malasada Tech
TL;DR This documents a Teams transcript download page lure that delivers GoTo RMM. Tactical Pause THE CONTENT, VIEWS, AND OPINIONS EXPRESSED ON THIS DOCUMENT ARE MY OWN AND DO NOT REFLECT THOSE OF MY EMPLOYER OR ANY AFFILIATED ORGANIZATIONS. ALL RESEARCH…
CTT Report Hub
#ParsedReport #CompletenessLow 24-10-2025 Teams Transcript Page Lure Delivers GoTo RMM https://malasada.tech/teams-transcript-page-lure-delivers-goto-rmm/ Report completeness: Low Threats: Goto_rmm_tool Oyster Victims: Microsoft teams users ChatGPT TTPs:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Возникла киберугроза, связанная с вводящей в заблуждение страницей загрузки, которая якобы предлагает расшифровку Microsoft Teams, но на самом деле предоставляет установщик GoTo Remote Monitoring and Management (RMM). Эта тактика основана на более раннем использовании поддельных команд-приманок, ранее связанных с распространением вредоносного ПО Oyster. На странице используются меры по борьбе с ботами, такие как включение кнопки загрузки только после задержки и мониторинг пользовательских взаимодействий, чтобы эффективно нацеливаться на ничего не подозревающих пользователей и компрометировать их.
-----
В анализе подробно описана киберугроза, связанная с вводящей в заблуждение страницей загрузки, Маскировкой под загрузку стенограммы Microsoft Teams. Эта приманка специально разработана для доставки программы установки GoTo Remote Monitoring and Management (RMM) ничего не подозревающим пользователям. Этот метод является продолжением ранее описанной тактики, когда поддельные приманки Microsoft Teams использовались для распространения вредоносного ПО Oyster, которое теперь используется для использования платформы Teams для другой вредоносной нагрузки.
Страница lure включает в себя несколько мер по борьбе с ботами, чтобы отфильтровать подлинных пользователей от автоматизированных скриптов. Характерной особенностью является скрытое текстовое поле, которое отслеживает ответы. Изначально кнопка загрузки на странице отключена и становится активной только после двухсекундной задержки. Если пользователь попытается нажать на кнопку до истечения двух секунд или если скрытое текстовое поле содержит какой-либо текст, пользователь перенаправляется на страницу Facebook, фактически избегая доставки вредоносной полезной нагрузки. И наоборот, если взаимодействие кажется законным, на странице отображается ссылка для скачивания GoTo RMM, что ставит под угрозу систему пользователя.
Эта тактика указывает на изощренный подход злоумышленников, которые умело используют социальную инженерию на надежных платформах, таких как Microsoft Teams. Используя знакомые среды и комбинацию механизмов синхронизации и проверки поведения пользователей, злоумышленники могут значительно повысить вероятность успешной доставки вредоносного ПО своим целям. Использование хорошо известных программных средств, таких как GoTo RMM, также подчеркивает продолжающуюся тенденцию смешивания законного программного обеспечения со злонамеренными намерениями с целью обмана пользователей. Тщательный дизайн этой приманки служит напоминанием о меняющемся ландшафте киберугроз, когда злоумышленники постоянно совершенствуют свои методы обхода мер безопасности и нацеливаются на отдельных лиц в корпоративной инфраструктуре.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Возникла киберугроза, связанная с вводящей в заблуждение страницей загрузки, которая якобы предлагает расшифровку Microsoft Teams, но на самом деле предоставляет установщик GoTo Remote Monitoring and Management (RMM). Эта тактика основана на более раннем использовании поддельных команд-приманок, ранее связанных с распространением вредоносного ПО Oyster. На странице используются меры по борьбе с ботами, такие как включение кнопки загрузки только после задержки и мониторинг пользовательских взаимодействий, чтобы эффективно нацеливаться на ничего не подозревающих пользователей и компрометировать их.
-----
В анализе подробно описана киберугроза, связанная с вводящей в заблуждение страницей загрузки, Маскировкой под загрузку стенограммы Microsoft Teams. Эта приманка специально разработана для доставки программы установки GoTo Remote Monitoring and Management (RMM) ничего не подозревающим пользователям. Этот метод является продолжением ранее описанной тактики, когда поддельные приманки Microsoft Teams использовались для распространения вредоносного ПО Oyster, которое теперь используется для использования платформы Teams для другой вредоносной нагрузки.
Страница lure включает в себя несколько мер по борьбе с ботами, чтобы отфильтровать подлинных пользователей от автоматизированных скриптов. Характерной особенностью является скрытое текстовое поле, которое отслеживает ответы. Изначально кнопка загрузки на странице отключена и становится активной только после двухсекундной задержки. Если пользователь попытается нажать на кнопку до истечения двух секунд или если скрытое текстовое поле содержит какой-либо текст, пользователь перенаправляется на страницу Facebook, фактически избегая доставки вредоносной полезной нагрузки. И наоборот, если взаимодействие кажется законным, на странице отображается ссылка для скачивания GoTo RMM, что ставит под угрозу систему пользователя.
Эта тактика указывает на изощренный подход злоумышленников, которые умело используют социальную инженерию на надежных платформах, таких как Microsoft Teams. Используя знакомые среды и комбинацию механизмов синхронизации и проверки поведения пользователей, злоумышленники могут значительно повысить вероятность успешной доставки вредоносного ПО своим целям. Использование хорошо известных программных средств, таких как GoTo RMM, также подчеркивает продолжающуюся тенденцию смешивания законного программного обеспечения со злонамеренными намерениями с целью обмана пользователей. Тщательный дизайн этой приманки служит напоминанием о меняющемся ландшафте киберугроз, когда злоумышленники постоянно совершенствуют свои методы обхода мер безопасности и нацеливаются на отдельных лиц в корпоративной инфраструктуре.
#ParsedReport #CompletenessLow
24-10-2025
Anatomy of the Red Hat Intrusion: Crimson Collective and SLSH Extortions
https://www.seqrite.com/blog/anatomy-of-the-red-hat-intrusion-crimson-collective-and-slsh-extortions/
Report completeness: Low
Actors/Campaigns:
Crimson_collective
Scattered_lapsus_hunters
0ktapus
Shinyhunters
Unc6040
Shiny_spider
Unc6240
Threats:
Clop
Asyncrat
Victims:
Salesforce ecosystem, Discord users, Oracle e business suite users
Industry:
Government, Aerospace, Entertainment, Telco
Geo:
Vietnam, Indian
CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2025-10725 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
T1133, T1204, T1566.004
IOCs:
Domain: 1
Soft:
Telegram, Discord, Salesforce, Jupyter notebooks, Active Directory
Platforms:
apple
24-10-2025
Anatomy of the Red Hat Intrusion: Crimson Collective and SLSH Extortions
https://www.seqrite.com/blog/anatomy-of-the-red-hat-intrusion-crimson-collective-and-slsh-extortions/
Report completeness: Low
Actors/Campaigns:
Crimson_collective
Scattered_lapsus_hunters
0ktapus
Shinyhunters
Unc6040
Shiny_spider
Unc6240
Threats:
Clop
Asyncrat
Victims:
Salesforce ecosystem, Discord users, Oracle e business suite users
Industry:
Government, Aerospace, Entertainment, Telco
Geo:
Vietnam, Indian
CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2025-10725 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
do not use without manual checkT1133, T1204, T1566.004
IOCs:
Domain: 1
Soft:
Telegram, Discord, Salesforce, Jupyter notebooks, Active Directory
Platforms:
apple
Blogs on Information Technology, Network & Cybersecurity | Seqrite
Anatomy of the Red Hat Intrusion: Crimson Collective and SLSH Extortions
<p>Introduction In August 2025, a Telegram channel named “Scattered LAPSUS$ Hunters” surfaced, linking itself to notorious cybercrime groups: Scattered Spider, ShinyHunters, and LAPSUS$. The group quickly began posting stolen data, ransom demands, and provocative…
CTT Report Hub
#ParsedReport #CompletenessLow 24-10-2025 Anatomy of the Red Hat Intrusion: Crimson Collective and SLSH Extortions https://www.seqrite.com/blog/anatomy-of-the-red-hat-intrusion-crimson-collective-and-slsh-extortions/ Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В августе 2025 года появилась группа "Scattered LAPSUS$ Hunters", связанная с известными киберпреступными организациями и использующая хаотичные методы, похожие на LAPSUS$. Они угрожали опубликовать данные, связанные с Salesforce, из-за неоплаченных выкупов и продемонстрировали зависимость от социальной инженерии vishing для манипулирования сотрудниками с целью установки вредоносных приложений. Кроме того, они воспользовались критической уязвимостью zero-day (CVE-2025-61882) в Oracle E-Business Suite для удаленного выполнения кода и скомпрометировали стороннего поставщика, связанного с Discord, похитив идентификационные данные пользователей и конфиденциальную информацию.
-----
В августе 2025 года группа под названием "Scattered LAPSUS$ Hunters" появилась через Telegram-канал, утверждая, что ведет свое происхождение от известных киберпреступных организаций, включая Scattered Spider, ShinyHunters и LAPSUS$. Их деятельность возродила хаотичную методологию, ранее использовавшуюся в LAPSUS$, наглядно демонстрирующую тенденцию к разглашению украденных данных и предъявлению требований о выкупе. Эта группа подозревается в сотрудничестве с акторами из “The Com”, подпольной сети, которая затрудняет отслеживание их личностей и инструментов.
В недавних сообщениях этой группы указывалось на угрозы опубликовать данные, связанные с Salesforce, если требования о выкупе не будут выполнены до 10 октября. Более того, они намекнули на возможные дальнейшие атаки, нацеленные на экосистему Salesloft. Расследования их деятельности показывают сильную зависимость от тактики социальной инженерии, основанной на вишинге. Они манипулируют сотрудниками, заставляя их устанавливать мошеннические приложения Salesforce Data Loader или одобрять вредоносные подключенные приложения, что позволяет им получать доступ к конфиденциальным данным. Это подчеркивает важный фактор их успеха: человеческий фактор в противовес уязвимостям программного обеспечения.
Другой ключевой аспект их деятельности связан с уязвимостью zero-day, идентифицированной как CVE-2025-61882, в Oracle E-Business Suite. Этот критический эксплойт позволяет выполнять удаленный код без проверки подлинности по сети, что представляет серьезную опасность, поскольку для него не требуются учетные данные пользователя.
В ходе связанного с этим инцидента, произошедшего 20 сентября, хакеры взломали стороннего поставщика услуг поддержки, связанного с Discord, что привело к краже идентификационных данных пользователей, платежной информации и удостоверений личности, выданных правительством, у некоторых пользователей, взаимодействующих со службами поддержки клиентов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В августе 2025 года появилась группа "Scattered LAPSUS$ Hunters", связанная с известными киберпреступными организациями и использующая хаотичные методы, похожие на LAPSUS$. Они угрожали опубликовать данные, связанные с Salesforce, из-за неоплаченных выкупов и продемонстрировали зависимость от социальной инженерии vishing для манипулирования сотрудниками с целью установки вредоносных приложений. Кроме того, они воспользовались критической уязвимостью zero-day (CVE-2025-61882) в Oracle E-Business Suite для удаленного выполнения кода и скомпрометировали стороннего поставщика, связанного с Discord, похитив идентификационные данные пользователей и конфиденциальную информацию.
-----
В августе 2025 года группа под названием "Scattered LAPSUS$ Hunters" появилась через Telegram-канал, утверждая, что ведет свое происхождение от известных киберпреступных организаций, включая Scattered Spider, ShinyHunters и LAPSUS$. Их деятельность возродила хаотичную методологию, ранее использовавшуюся в LAPSUS$, наглядно демонстрирующую тенденцию к разглашению украденных данных и предъявлению требований о выкупе. Эта группа подозревается в сотрудничестве с акторами из “The Com”, подпольной сети, которая затрудняет отслеживание их личностей и инструментов.
В недавних сообщениях этой группы указывалось на угрозы опубликовать данные, связанные с Salesforce, если требования о выкупе не будут выполнены до 10 октября. Более того, они намекнули на возможные дальнейшие атаки, нацеленные на экосистему Salesloft. Расследования их деятельности показывают сильную зависимость от тактики социальной инженерии, основанной на вишинге. Они манипулируют сотрудниками, заставляя их устанавливать мошеннические приложения Salesforce Data Loader или одобрять вредоносные подключенные приложения, что позволяет им получать доступ к конфиденциальным данным. Это подчеркивает важный фактор их успеха: человеческий фактор в противовес уязвимостям программного обеспечения.
Другой ключевой аспект их деятельности связан с уязвимостью zero-day, идентифицированной как CVE-2025-61882, в Oracle E-Business Suite. Этот критический эксплойт позволяет выполнять удаленный код без проверки подлинности по сети, что представляет серьезную опасность, поскольку для него не требуются учетные данные пользователя.
В ходе связанного с этим инцидента, произошедшего 20 сентября, хакеры взломали стороннего поставщика услуг поддержки, связанного с Discord, что привело к краже идентификационных данных пользователей, платежной информации и удостоверений личности, выданных правительством, у некоторых пользователей, взаимодействующих со службами поддержки клиентов.
#ParsedReport #CompletenessHigh
20-10-2025
Salty Much: Darktraces view on a recent Salt Typhoon intrusion
https://www.darktrace.com/blog/salty-much-darktraces-view-on-a-recent-salt-typhoon-intrusion
Report completeness: High
Actors/Campaigns:
Ghostemperor
Threats:
Dll_sideloading_technique
Deed_rat
Victims:
Telecommunications sector, Energy sector, Government sector, European telecommunications organisation, Critical infrastructure
Industry:
Telco, Government, Energy, Critical_infrastructure
Geo:
China, Africa, Middle east, Emea
TTPs:
Tactics: 1
Technics: 7
IOCs:
Domain: 1
IP: 3
Url: 14
Hash: 1
Soft:
Ivanti, SoftEther, Norton Antivirus, Internet Explorer
Algorithms:
sha1
20-10-2025
Salty Much: Darktraces view on a recent Salt Typhoon intrusion
https://www.darktrace.com/blog/salty-much-darktraces-view-on-a-recent-salt-typhoon-intrusion
Report completeness: High
Actors/Campaigns:
Ghostemperor
Threats:
Dll_sideloading_technique
Deed_rat
Victims:
Telecommunications sector, Energy sector, Government sector, European telecommunications organisation, Critical infrastructure
Industry:
Telco, Government, Energy, Critical_infrastructure
Geo:
China, Africa, Middle east, Emea
TTPs:
Tactics: 1
Technics: 7
IOCs:
Domain: 1
IP: 3
Url: 14
Hash: 1
Soft:
Ivanti, SoftEther, Norton Antivirus, Internet Explorer
Algorithms:
sha1
Darktrace
Salty Much: Darktrace’s take on a recent Salt Typhoon intrusion
Hear how Darktrace detected activity aligned with Salt Typhoon, a China-linked cyber espionage group known for targeting global infrastructure using advanced techniques like DLL sideloading and zero-day exploits.
CTT Report Hub
#ParsedReport #CompletenessHigh 20-10-2025 Salty Much: Darktraces view on a recent Salt Typhoon intrusion https://www.darktrace.com/blog/salty-much-darktraces-view-on-a-recent-salt-typhoon-intrusion Report completeness: High Actors/Campaigns: Ghostemperor…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Salt Typhoon, связанный с китайскими акторами, спонсируемыми государством, нацелен на глобальную критически важную инфраструктуру с акцентом на телекоммуникационный и энергетический секторы. Недавние действия включали использование устройства Citrix NetScaler Gateway, предоставление доступа к хостам Citrix Virtual Delivery Agent и развертывание бэкдора SNAPPYBEE с помощью DLL Sideloading законного программного обеспечения. Бэкдор взаимодействовал со своей инфраструктурой управления с помощью HTTP и протокола на основе TCP, демонстрируя продвинутую тактику уклонения.
-----
Salt Typhoon - это сложная киберугроза, которая, как полагают, связана с спонсируемыми государством акторами из Китая, нацеленная на критически важную инфраструктуру по всему миру, с особым акцентом на телекоммуникационный, энергетический секторы и правительственные системы, особенно в Соединенных Штатах. Недавно в европейской телекоммуникационной организации была замечена активность, соответствующая Salt Typhoon's известной тактике, техникам и процедурам (TTP), включающая такие тактики, как дополнительная загрузка библиотеки динамических ссылок (DLL) и использование законного программного обеспечения для поддержания скрытности.
Сообщается, что вторжение началось с использования устройства Citrix NetScaler Gateway в начале июля 2025 года. Этот этап первоначального доступа позволил злоумышленникам подключиться к хостам Citrix Virtual Delivery Agent (VDA) в подсети служб создания машин клиента. Примечательно, что вторжение было прослежено до конечной точки, потенциально связанной с VPN-сервисом SoftEther, что указывает на то, что злоумышленники с самого начала применяли методы обфускации.
Последующий анализ показал, что злоумышленники внедрили бэкдор, известный как SNAPPYBEE (или Deed RAT), на нескольких узлах Citrix VDA. Этот бэкдор был внедрен с помощью DLL Sideloading наряду с законными исполняемыми файлами для известных антивирусных продуктов, что является методом, исторически используемым Salt Typhoon для выполнения вредоносных полезных нагрузок, избегая обнаружения традиционными мерами безопасности.
Связь между бэкдором и его инфраструктурой управления (C2) осуществлялась с использованием конечных точек lightNode VPS как по протоколу HTTP, так и по неопознанному протоколу на основе TCP, что подчеркивает сложную природу тактики уклонения Salt Typhoon. HTTP-сообщения показывали отчетливые запросы POST с заголовком user-agent из Internet Explorer, наряду с уникальными шаблонами URI, указывающими на целевые взаимодействия C2. Среди доменов, подключенных к скомпрометированным конечным точкам, был домен, недавно идентифицированный как связанный с Salt Typhoon.
Усилия по обнаружению, предпринятые Darktrace, выявили эти действия по вторжению на ранней стадии, что позволило оперативно устранить их до того, как они могли разрастись. Их аналитик по кибер-ИИ автономно связал точки между первоначальным набором инструментов и событиями C2, чтобы представить целостное представление о продвижении атакующего. Это вторжение подчеркивает сохраняющуюся проблему, которую представляет Salt Typhoon, особенно в его способности сочетать законные операции со злонамеренными намерениями, что требует сосредоточения внимания на обнаружении поведенческих аномалий, а не полагаться исключительно на защиту на основе сигнатур. Эволюция методологий Salt Typhoon усиливает необходимость в стратегии проактивной защиты, подчеркивая необходимость в расширенных возможностях обнаружения для выявления едва заметных поведенческих отклонений в сетевой активности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Salt Typhoon, связанный с китайскими акторами, спонсируемыми государством, нацелен на глобальную критически важную инфраструктуру с акцентом на телекоммуникационный и энергетический секторы. Недавние действия включали использование устройства Citrix NetScaler Gateway, предоставление доступа к хостам Citrix Virtual Delivery Agent и развертывание бэкдора SNAPPYBEE с помощью DLL Sideloading законного программного обеспечения. Бэкдор взаимодействовал со своей инфраструктурой управления с помощью HTTP и протокола на основе TCP, демонстрируя продвинутую тактику уклонения.
-----
Salt Typhoon - это сложная киберугроза, которая, как полагают, связана с спонсируемыми государством акторами из Китая, нацеленная на критически важную инфраструктуру по всему миру, с особым акцентом на телекоммуникационный, энергетический секторы и правительственные системы, особенно в Соединенных Штатах. Недавно в европейской телекоммуникационной организации была замечена активность, соответствующая Salt Typhoon's известной тактике, техникам и процедурам (TTP), включающая такие тактики, как дополнительная загрузка библиотеки динамических ссылок (DLL) и использование законного программного обеспечения для поддержания скрытности.
Сообщается, что вторжение началось с использования устройства Citrix NetScaler Gateway в начале июля 2025 года. Этот этап первоначального доступа позволил злоумышленникам подключиться к хостам Citrix Virtual Delivery Agent (VDA) в подсети служб создания машин клиента. Примечательно, что вторжение было прослежено до конечной точки, потенциально связанной с VPN-сервисом SoftEther, что указывает на то, что злоумышленники с самого начала применяли методы обфускации.
Последующий анализ показал, что злоумышленники внедрили бэкдор, известный как SNAPPYBEE (или Deed RAT), на нескольких узлах Citrix VDA. Этот бэкдор был внедрен с помощью DLL Sideloading наряду с законными исполняемыми файлами для известных антивирусных продуктов, что является методом, исторически используемым Salt Typhoon для выполнения вредоносных полезных нагрузок, избегая обнаружения традиционными мерами безопасности.
Связь между бэкдором и его инфраструктурой управления (C2) осуществлялась с использованием конечных точек lightNode VPS как по протоколу HTTP, так и по неопознанному протоколу на основе TCP, что подчеркивает сложную природу тактики уклонения Salt Typhoon. HTTP-сообщения показывали отчетливые запросы POST с заголовком user-agent из Internet Explorer, наряду с уникальными шаблонами URI, указывающими на целевые взаимодействия C2. Среди доменов, подключенных к скомпрометированным конечным точкам, был домен, недавно идентифицированный как связанный с Salt Typhoon.
Усилия по обнаружению, предпринятые Darktrace, выявили эти действия по вторжению на ранней стадии, что позволило оперативно устранить их до того, как они могли разрастись. Их аналитик по кибер-ИИ автономно связал точки между первоначальным набором инструментов и событиями C2, чтобы представить целостное представление о продвижении атакующего. Это вторжение подчеркивает сохраняющуюся проблему, которую представляет Salt Typhoon, особенно в его способности сочетать законные операции со злонамеренными намерениями, что требует сосредоточения внимания на обнаружении поведенческих аномалий, а не полагаться исключительно на защиту на основе сигнатур. Эволюция методологий Salt Typhoon усиливает необходимость в стратегии проактивной защиты, подчеркивая необходимость в расширенных возможностях обнаружения для выявления едва заметных поведенческих отклонений в сетевой активности.
#ParsedReport #CompletenessLow
24-10-2025
From Dream Job to Malware: DreamLoaders in Lazarus Recent Campaign
https://lab52.io/blog/dreamloaders/
Report completeness: Low
Actors/Campaigns:
Dream_job
Lazarus
Threats:
Dreamloaders
Dll_sideloading_technique
ChatGPT TTPs:
T1036, T1204.002, T1543.003, T1574.002
IOCs:
File: 7
Path: 2
Hash: 7
Domain: 3
Soft:
TightVNC, Graph API, SharePoint server, wordpad
Algorithms:
base64, sha256, rc4, zip
Win API:
decompress
24-10-2025
From Dream Job to Malware: DreamLoaders in Lazarus Recent Campaign
https://lab52.io/blog/dreamloaders/
Report completeness: Low
Actors/Campaigns:
Dream_job
Lazarus
Threats:
Dreamloaders
Dll_sideloading_technique
ChatGPT TTPs:
do not use without manual checkT1036, T1204.002, T1543.003, T1574.002
IOCs:
File: 7
Path: 2
Hash: 7
Domain: 3
Soft:
TightVNC, Graph API, SharePoint server, wordpad
Algorithms:
base64, sha256, rc4, zip
Win API:
decompress