#ParsedReport #CompletenessLow
24-10-2025

Anatomy of the Red Hat Intrusion: Crimson Collective and SLSH Extortions

https://www.seqrite.com/blog/anatomy-of-the-red-hat-intrusion-crimson-collective-and-slsh-extortions/

Report completeness: Low

Actors/Campaigns:
Crimson_collective
Scattered_lapsus_hunters
0ktapus
Shinyhunters
Unc6040
Shiny_spider
Unc6240

Threats:
Clop
Asyncrat

Victims:
Salesforce ecosystem, Discord users, Oracle e business suite users

Industry:
Government, Aerospace, Entertainment, Telco

Geo:
Vietnam, Indian

CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-10725 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1133, T1204, T1566.004

IOCs:
Domain: 1

Soft:
Telegram, Discord, Salesforce, Jupyter notebooks, Active Directory

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, chats: 1, code: 3, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года появилась группа "Scattered LAPSUS$ Hunters", связанная с известными киберпреступными организациями и использующая хаотичные методы, похожие на LAPSUS$. Они угрожали опубликовать данные, связанные с Salesforce, из-за неоплаченных выкупов и продемонстрировали зависимость от социальной инженерии vishing для манипулирования сотрудниками с целью установки вредоносных приложений. Кроме того, они воспользовались критической уязвимостью zero-day (CVE-2025-61882) в Oracle E-Business Suite для удаленного выполнения кода и скомпрометировали стороннего поставщика, связанного с Discord, похитив идентификационные данные пользователей и конфиденциальную информацию.
-----

В августе 2025 года группа под названием "Scattered LAPSUS$ Hunters" появилась через Telegram-канал, утверждая, что ведет свое происхождение от известных киберпреступных организаций, включая Scattered Spider, ShinyHunters и LAPSUS$. Их деятельность возродила хаотичную методологию, ранее использовавшуюся в LAPSUS$, наглядно демонстрирующую тенденцию к разглашению украденных данных и предъявлению требований о выкупе. Эта группа подозревается в сотрудничестве с акторами из “The Com”, подпольной сети, которая затрудняет отслеживание их личностей и инструментов.

В недавних сообщениях этой группы указывалось на угрозы опубликовать данные, связанные с Salesforce, если требования о выкупе не будут выполнены до 10 октября. Более того, они намекнули на возможные дальнейшие атаки, нацеленные на экосистему Salesloft. Расследования их деятельности показывают сильную зависимость от тактики социальной инженерии, основанной на вишинге. Они манипулируют сотрудниками, заставляя их устанавливать мошеннические приложения Salesforce Data Loader или одобрять вредоносные подключенные приложения, что позволяет им получать доступ к конфиденциальным данным. Это подчеркивает важный фактор их успеха: человеческий фактор в противовес уязвимостям программного обеспечения.

Другой ключевой аспект их деятельности связан с уязвимостью zero-day, идентифицированной как CVE-2025-61882, в Oracle E-Business Suite. Этот критический эксплойт позволяет выполнять удаленный код без проверки подлинности по сети, что представляет серьезную опасность, поскольку для него не требуются учетные данные пользователя.

В ходе связанного с этим инцидента, произошедшего 20 сентября, хакеры взломали стороннего поставщика услуг поддержки, связанного с Discord, что привело к краже идентификационных данных пользователей, платежной информации и удостоверений личности, выданных правительством, у некоторых пользователей, взаимодействующих со службами поддержки клиентов.

#ParsedReport #CompletenessHigh
20-10-2025

Salty Much: Darktraces view on a recent Salt Typhoon intrusion

https://www.darktrace.com/blog/salty-much-darktraces-view-on-a-recent-salt-typhoon-intrusion

Report completeness: High

Actors/Campaigns:
Ghostemperor

Threats:
Dll_sideloading_technique
Deed_rat

Victims:
Telecommunications sector, Energy sector, Government sector, European telecommunications organisation, Critical infrastructure

Industry:
Telco, Government, Energy, Critical_infrastructure

Geo:
China, Africa, Middle east, Emea

TTPs:
Tactics: 1
Technics: 7

IOCs:
Domain: 1
IP: 3
Url: 14
Hash: 1

Soft:
Ivanti, SoftEther, Norton Antivirus, Internet Explorer

Algorithms:
sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salt Typhoon, связанный с китайскими акторами, спонсируемыми государством, нацелен на глобальную критически важную инфраструктуру с акцентом на телекоммуникационный и энергетический секторы. Недавние действия включали использование устройства Citrix NetScaler Gateway, предоставление доступа к хостам Citrix Virtual Delivery Agent и развертывание бэкдора SNAPPYBEE с помощью DLL Sideloading законного программного обеспечения. Бэкдор взаимодействовал со своей инфраструктурой управления с помощью HTTP и протокола на основе TCP, демонстрируя продвинутую тактику уклонения.
-----

Salt Typhoon - это сложная киберугроза, которая, как полагают, связана с спонсируемыми государством акторами из Китая, нацеленная на критически важную инфраструктуру по всему миру, с особым акцентом на телекоммуникационный, энергетический секторы и правительственные системы, особенно в Соединенных Штатах. Недавно в европейской телекоммуникационной организации была замечена активность, соответствующая Salt Typhoon's известной тактике, техникам и процедурам (TTP), включающая такие тактики, как дополнительная загрузка библиотеки динамических ссылок (DLL) и использование законного программного обеспечения для поддержания скрытности.

Сообщается, что вторжение началось с использования устройства Citrix NetScaler Gateway в начале июля 2025 года. Этот этап первоначального доступа позволил злоумышленникам подключиться к хостам Citrix Virtual Delivery Agent (VDA) в подсети служб создания машин клиента. Примечательно, что вторжение было прослежено до конечной точки, потенциально связанной с VPN-сервисом SoftEther, что указывает на то, что злоумышленники с самого начала применяли методы обфускации.

Последующий анализ показал, что злоумышленники внедрили бэкдор, известный как SNAPPYBEE (или Deed RAT), на нескольких узлах Citrix VDA. Этот бэкдор был внедрен с помощью DLL Sideloading наряду с законными исполняемыми файлами для известных антивирусных продуктов, что является методом, исторически используемым Salt Typhoon для выполнения вредоносных полезных нагрузок, избегая обнаружения традиционными мерами безопасности.

Связь между бэкдором и его инфраструктурой управления (C2) осуществлялась с использованием конечных точек lightNode VPS как по протоколу HTTP, так и по неопознанному протоколу на основе TCP, что подчеркивает сложную природу тактики уклонения Salt Typhoon. HTTP-сообщения показывали отчетливые запросы POST с заголовком user-agent из Internet Explorer, наряду с уникальными шаблонами URI, указывающими на целевые взаимодействия C2. Среди доменов, подключенных к скомпрометированным конечным точкам, был домен, недавно идентифицированный как связанный с Salt Typhoon.

Усилия по обнаружению, предпринятые Darktrace, выявили эти действия по вторжению на ранней стадии, что позволило оперативно устранить их до того, как они могли разрастись. Их аналитик по кибер-ИИ автономно связал точки между первоначальным набором инструментов и событиями C2, чтобы представить целостное представление о продвижении атакующего. Это вторжение подчеркивает сохраняющуюся проблему, которую представляет Salt Typhoon, особенно в его способности сочетать законные операции со злонамеренными намерениями, что требует сосредоточения внимания на обнаружении поведенческих аномалий, а не полагаться исключительно на защиту на основе сигнатур. Эволюция методологий Salt Typhoon усиливает необходимость в стратегии проактивной защиты, подчеркивая необходимость в расширенных возможностях обнаружения для выявления едва заметных поведенческих отклонений в сетевой активности.

#ParsedReport #CompletenessLow
24-10-2025

From Dream Job to Malware: DreamLoaders in Lazarus Recent Campaign

https://lab52.io/blog/dreamloaders/

Report completeness: Low

Actors/Campaigns:
Dream_job
Lazarus

Threats:
Dreamloaders
Dll_sideloading_technique

ChatGPT TTPs:
do not use without manual check
T1036, T1204.002, T1543.003, T1574.002

IOCs:
File: 7
Path: 2
Hash: 7
Domain: 3

Soft:
TightVNC, Graph API, SharePoint server, wordpad

Algorithms:
base64, sha256, rc4, zip

Win API:
decompress

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года Lab52 сообщила о кампании северокорейской группы Lazarus, которая использовала схемы "DreamJob" для развертывания загрузчиков, которые позволяли красть учетные данные и контролировать систему. Ключевые компоненты включали троянский клиент TightVNC, tnsviewer.exe , и вредоносные библиотеки DLL, выполняемые с помощью методов DLL sideloading с использованием законных двоичных файлов Windows. Кампания продемонстрировала сложную и модульную стратегию атаки, использующую методы скрытности, чтобы скрыть обнаружение, и нацеленную на широкое использование в различных целях.
-----

В августе 2025 года исследовательская фирма по кибербезопасности Lab52 расследовала кампанию, связанную с северокорейской группой Lazarus, известной своими сложными кибероперациями. Эта кампания включала использование схем "DreamJob", нацеленных на администраторов организаций, для запуска вредоносного программного обеспечения, позволяющего злоумышленникам получать учетные данные и конфиденциальную информацию, которые в дальнейшем используются для получения контроля над скомпрометированными системами.

Злоумышленники использовали несколько типов загрузчиков, которые представляют собой модульные компоненты, предназначенные для развертывания различных полезных нагрузок в зависимости от конкретных требований акторов. Одним из важных загрузчиков, обнаруженных в их арсенале, является троянская версия клиента TightVNC, названная tnsviewer.exe , распространяемый в защищенном паролем ZIP-файле, который включал в себя README.txt предоставление жертвам инструкций по подключению к определенному IP-адресу.

Дальнейшее расследование выявило дополнительные вредоносные компоненты, такие как веб-сервисы.библиотека dll и radcui.dll , которые были выполнены с помощью метода, называемого DLL sideloading. Этот метод включал использование законных двоичных файлов, в частности wkspbroker.exe и wksprt.exe , ранее скопированный из каталога Windows System32, тем самым маскируя инъекции. Процесс выполнения включал в себя пароль, который имитировал шаблон в стиле SID для повышения конфиденциальности.

TSVIPSrv.dll был обнаружен еще один загрузчик на скомпрометированных серверах. Он работает от имени вредоносной службы под названием "sessionenv", созданной злоумышленниками. Эта библиотека DLL зависит от двух дополнительных файлов, размещенных злоумышленниками, которые называются wordpad.dll.mui и msinfo32.dll.mui, предназначенных для размещения фактической полезной нагрузки. В ходе анализа был найден доступным только файл wordpad.dll.mui, что указывает на то, что другой файл и его функциональные возможности остаются скрытыми.

Скоординированное использование этих методов является примером сложной стратегии развертывания, в которой особое внимание уделяется использованию законных системных двоичных файлов и зашифрованной полезной нагрузки для сокрытия усилий по обнаружению. Более того, высокая степень повторного использования кода и применение методов скрытой дополнительной загрузки свидетельствуют о методологическом подходе, применяемом Lazarus в своих кибероперациях, направленном на широкое использование в различных системах. Такая модульность и тиражирование идентичных полезных нагрузок в различных средах предполагают организованные усилия злоумышленников по повышению эффективности своих атак и минимизации воздействия.

#ParsedReport #CompletenessLow
23-10-2025

Mass Exploit Campaign Targeting Arbitrary Plugin Installation Vulnerabilities

https://www.wordfence.com/blog/2025/10/mass-exploit-campaign-targeting-arbitrary-plugin-installation-vulnerabilities/

Report completeness: Low

Victims:
Wordpress websites, Website administrators

CVEs:
CVE-2024-9234 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-11972 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-9707 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1105, T1190

IOCs:
File: 5
IP: 15
Domain: 8

Soft:
WordPress

Algorithms:
zip

Functions:
install_and_activate_plugin_from_external, tp_install

Languages:
php

Links:
https://github.com/xwopen/xwopen/raw/refs/heads/main/up.zip
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампании по эксплуатации активно нацелены на уязвимости в плагинах GutenKit и Hunk Companion для WordPress, позволяя не прошедшим проверку подлинности акторам использовать эти недостатки для удаленного выполнения кода. В плагине GutenKit отсутствует проверка возможностей в его API, позволяющая загружать произвольные файлы, в то время как в плагине Hunk Companion отсутствует проверка авторизации, что приводит к несанкционированной установке плагина. Обе уязвимости были использованы злоумышленниками для установки вредоносных плагинов, что создает значительные риски для затронутых сайтов.
-----

Появилась масштабная кампания по эксплойтам, нацеленная на уязвимости в плагинах GutenKit и Hunk Companion для WordPress, с сообщениями об активной эксплуатации, датируемыми 8 октября 2025 года. Оба плагина — GutenKit с более чем 40 000 активных установок и Hunk Companion с 8000 — уязвимы для несанкционированной установки плагинов, которые могут быть использованы не прошедшими проверку подлинности злоумышленниками для получения доступа к удаленному выполнению кода.

Плагин GutenKit, в частности версии до 2.1.0 включительно, страдает от критического отсутствия проверок возможностей в функции install_and_activate_plugin_from_external(). Это упущение позволяет злоумышленникам, не прошедшим проверку подлинности, загружать произвольные файлы или устанавливать плагины из внешних источников через общедоступную конечную точку REST API. Такие уязвимости обычно используются для внедрения вредоносных пакетов, замаскированных под законные плагины, что в конечном счете обеспечивает бэкдор для удаленного выполнения кода.

Аналогичным образом, плагин-компаньон Hunk, версии до 1.8.5, имеет критический недостаток из-за отсутствия проверки авторизации в конечной точке /wp-json/hc/v1/themehunk-import REST API. Эта уязвимость делает возможной несанкционированную установку и активацию произвольных плагинов, что потенциально может привести к удаленному выполнению кода с помощью других взломанных плагинов. Примечательно, что это позволяет обойти предыдущую уязвимость, которая была зарегистрирована как CVE-2024-9707.

Брандмауэр Wordfence активно противодействовал угрозам, связанным с этими уязвимостями, заблокировав более 8,7 миллионов попыток использования уязвимостей, что свидетельствует о серьезности угрозы и огромном объеме атак. Отсутствие надлежащей аутентификации для конечных точек REST API в обоих плагинах представляет значительный риск, поскольку злоумышленники могут легко использовать эти API для установки плагинов с известными уязвимостями или вредоносного контента из общедоступных хранилищ.

Недавние тематические исследования иллюстрируют тактику, используемую злоумышленниками, которые пытались использовать поддельные плагины, размещенные на таких платформах, как GitHub, для осуществления своих атак. Эти действия были легко организованы из-за отсутствия соответствующих проверок разрешений, что открывает возможности для широкомасштабной эксплуатации.

#ParsedReport #CompletenessHigh
25-10-2025

GHOSTGRAB ANDROID MALWARE

https://www.cyfirma.com/research/ghostgrab-android-malware/

Report completeness: High

Threats:
Ghostgrab
Credential_harvesting_technique

Victims:
Mobile users, Banking sector

Industry:
Financial

TTPs:
Tactics: 8
Technics: 15

IOCs:
Domain: 6
File: 8
Url: 1
Hash: 2
Coin: 1

Soft:
ANDROID, Google Play, Telegram

Crypto:
monero

Algorithms:
sha256

Functions:
sendTextMessage, startForegroundService

Languages:
javascript

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostGrab - это сложное вредоносное ПО для Android, которое сочетает эксплуатацию ресурсов с финансовым мошенничеством, нацеливаясь на конфиденциальную банковскую и личную информацию. Он распространяется через вредоносный домен "kychelp.live", используя перенаправление JavaScript для доставки dropper APK, имитирующего Google Play Store, чтобы получить разрешения пользователя на установку скрытых полезных приложений. Вредоносное ПО сохраняется через звуковой цикл в службе переднего плана и использует обманчивый банковский интерфейс для кражи данных, используя обширные разрешения, которые обеспечивают длительную работу и уклонение от обнаружения.
-----

GhostGrab - это усовершенствованное семейство вредоносных ПО для Android, которое объединяет эксплуатацию ресурсов со схемами финансового мошенничества. Он крадет конфиденциальную банковскую информацию, личные данные и способствует мошенничеству с транзакциями. Вредоносное ПО собирает банковские учетные данные, номера Aadhaar и историю SMS-сообщений, включая одноразовые пароли (OTP).

Заражение начинается через вредоносный домен "kychelp.live", использующий перенаправление JavaScript для загрузки вредоносного APK-файла с именем "BOM FIXED DEPOSIT.apk", который действует как Dropper. Дроппер имитирует запрос на обновление в Google Play Store, чтобы обманом заставить пользователей предоставлять разрешения.

GhostGrab использует метод MediaPlayer для закрепления, создавая бесшумный звуковой цикл, чтобы поддерживать рабочее присутствие и предотвращать отключение в режиме ожидания. Вредоносное ПО открывает интерфейс банковской тематики, чтобы обманом заставить жертв предоставить конфиденциальную информацию в целях "Знай своего клиента" (KYC).

Домен "kychelp.live" зарегистрирован недавно, что является обычной чертой вредоносных кампаний. GhostGrab использует двойную стратегию монетизации, ориентированную на финансы и ресурсы устройств, используя модульную конструкцию и широкое злоупотребление разрешениями, чтобы избежать обнаружения.

Меры уменьшения риска включают только загрузка приложений из официальных источников и блокирует известные вредоносные домены на сетевом уровне. Обнаружению могут способствовать правила YARA, основанные на показателях компрометации, связанных с инфраструктурой GhostGrab's.

#ParsedReport #CompletenessMedium
24-10-2025

Analyzing the latest attacks from Trigona attackers

https://asec.ahnlab.com/ko/90717/

Report completeness: Medium

Threats:
Trigona
Mimic_ransomware
Bitsadmin_tool
Anydesk_tool
Defendercontrol_tool

Victims:
Ms sql servers

ChatGPT TTPs:
do not use without manual check
T1018, T1021.001, T1036, T1041, T1070.004, T1105, T1110, T1190, T1219

IOCs:
Command: 2
File: 3
Path: 2
Url: 7
Hash: 5
IP: 2

Soft:
MS-SQL, Curl, Bat2Exe

Algorithms:
md5

Languages:
rust, powershell

Links:
https://github.com/decoder-it/NetworkServiceExploit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники из Trigona сосредоточили свое внимание на серверах MS-SQL, используя методы, которые включают программу массового копирования (BCP) для Манипуляций с данными и AnyDesk для удаленного управления. Их арсенал расширился за счет пользовательского сканера на базе Rust, который собирает системные данные и выполняет поиск уязвимостей RDP и MS-SQL. Кроме того, были использованы различные средства повышения привилегий, способные удалять важные файлы и изменять исполняемые файлы, чтобы затруднить восстановление.
-----

Злоумышленники из Trigona недавно активизировали свои кампании, нацеленные на серверы MS-SQL, используя комбинацию методов атаки и инструментов вредоносного ПО. Ранее сообщалось, что в атаках использовались как Trigona, так и Mimic ransomware с подтвержденной ссылкой на Trigona через согласованные Адреса эл. почты, используемые в уведомлениях о выкупе с начала 2023 года.

Примечательным аспектом методологии атаки Trigona является использование программы массового копирования (BCP), утилиты командной строки, используемой для манипулирования большими наборами данных, хранящихся на SQL-серверах. Этот инструмент используется для создания или экспорта файлов данных, облегчая злоумышленникам операции с скомпрометированной инфраструктурой MS-SQL.

В своей последней тактике злоумышленники использовали AnyDesk для удаленного управления системой. Установка AnyDesk обычно включает в себя размещение его по пути %ALLUSERSPROFILE%, что позволяет злоумышленникам сохранять доступ к зараженным системам. Кроме того, злоумышленники расширили свой инструментарий, включив в него пользовательский сканер вредоносного ПО, разработанный в Rust. После запуска этот сканер не только извлекает системную информацию, такую как IP-адрес и местоположение, из "ip-api.com " но также инициирует сканирование на наличие Протокола удаленного рабочего стола (RDP) и служб MS-SQL в поисках других уязвимостей.

В атаки также были интегрированы различные инструменты повышения привилегий, многие из которых можно найти на таких платформах, как GitHub, или через Defender Control. Эти инструменты варьируются от вредоносных ПО, предназначенных для удаления определенных файлов и каталогов, до тех, которые заменяют исполняемые файлы вредоносными версиями. Сообщалось, что вредоносное ПО для Удаления файлов удаляет важные каталоги и исполняемые файлы, что затрудняет процессы восстановления.

#ParsedReport #CompletenessHigh
25-10-2025

Android.Backdoor.Baohuo.1.origin

https://vms.drweb.ru/virus/?i=30931099

Report completeness: High

Threats:
Baohuo
Lspatch_tool
Cloaking_technique
Mobidash

Victims:
Mobile users

TTPs:
Tactics: 5
Technics: 27

IOCs:
File: 1
Hash: 1
Domain: 2
IP: 2
Url: 1

Soft:
Android, Telegram, Redis, Unix, Google Play

Algorithms:
sha1

Functions:
getName, setBlackList

Links:
have more...
https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Backdoor.Baohuo.1.origin/README.adoc
https://github.com/ehang-io/nps