#ParsedReport #CompletenessLow
14-11-2025

Be careful responding to unexpected job interviews

https://www.malwarebytes.com/blog/news/2025/11/be-careful-responding-to-unexpected-job-interviews

Report completeness: Low

Threats:
Logmein_tool

IOCs:
Url: 1
File: 1
Domain: 1

Soft:
Zoom, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют поддельные предложения о собеседовании при приеме на работу для проведения фишинг-атак, направленных на извлечение конфиденциальной информации или распространение вредоносного ПО. Электронные письма, имитирующие законные возможности трудоустройства, часто содержат обманчивые ссылки, в том числе приглашения на Zoom, которые могут привести к краже учетных данных или установке вредоносного ПО. Основной риск возникает из-за того, что отдельные лица не могут проверить подлинность таких сообщений, что подчеркивает необходимость проявлять бдительность при получении незапрашиваемых предложений о работе.
-----

В предоставленном тексте освещаются потенциальные риски, связанные с откликом на неожиданные предложения о собеседовании. Хотя в нем не рассматриваются конкретные киберугрозы, он вызывает соответствующую обеспокоенность в связи с атаками фишинга, которые часто используют аналогичную тактику. Киберпреступники могут использовать поддельные запросы на собеседование при приеме на работу, чтобы заманить ничего не подозревающих людей к обмену конфиденциальной информацией или загрузке вредоносного программного обеспечения.

Такие инциденты часто связаны с использованием электронных писем, которые кажутся законными, приглашающими цели перейти по ссылкам или предоставить личные данные для предполагаемого собеседования. Упоминание ссылки Zoom в последующей переписке является распространенной тактикой, используемой злоумышленниками для облегчения дальнейшего обмана, и может привести к установке вредоносного ПО или раскрытию схем сбора учетных записей.

Эта ситуация подчеркивает важность проверки подлинности предложений о работе и сообщений от потенциальных работодателей, чтобы не стать жертвой мошенников. Отдельным лицам следует критически оценивать неожиданные приглашения, особенно изучая Адреса эл. почты, изучая кадровые процессы компании и проявляя осторожность при обмене личной информацией или использовании ссылок, предоставленных в незапрашиваемых электронных письмах.

#ParsedReport #CompletenessLow
14-11-2025

In the arsenal of Shedding Zmiy: a tool for attacks through flaws in the system environment settings of a popular CMS.

https://rt-solar.ru/solar-4rays/blog/6220/

Report completeness: Low

Actors/Campaigns:
Shedding_zmiy

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1190

IOCs:
File: 5
Hash: 3

Soft:
Telegram, Bitrix, nginx, sudo, Apparmor, SELinux

Algorithms:
sha256, md5, sha1

Win Services:
bits

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 2, dump: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Shedding Zmiy, проукраинская хакерская группировка, использующая утилиту под названием "Install" для использования уязвимости zero-day в устаревших версиях системы управления контентом Bitrix, способствующей повышению привилегий после несанкционированного доступа к веб-серверу. Уязвимость, относящаяся к версиям до 9.0.5, остается не исправленной в этих установках, создавая значительные риски до тех пор, пока она не будет устранена. Эта проблема была занесена в каталог под идентификатором BDU:2025-04539 BDU ФСТЭК, подчеркивая настоятельную необходимость своевременного обновления программного обеспечения для предотвращения эксплуатации.
-----

Shedding Zmiy, проукраинская хакерская группировка, использующая утилиту под названием "Install", которая использует уязвимость в настройках системной среды системы управления контентом Bitrix (CMS). На момент обнаружения эта уязвимость была идентифицирована как zero-day, что указывает на то, что она еще не была исправлена. Утилита специально разработана для облегчения повышения привилегий в инфраструктуре после получения несанкционированного доступа к веб-серверу.

Уязвимость связана с недостатками конфигурации, присутствующими в устаревших версиях Bitrix, в частности, до версии 9.0.5. Это говорит о том, что установки CMS, которые не были обновлены, могут быть особенно подвержены тактике, используемой Shedding Zmiy. Примечательно, что поставщик CMS был оперативно проинформирован об уязвимости, что привело к быстрому устранению, впоследствии подчеркнув важность поддержания обновленного программного обеспечения для снижения таких рисков.

В результате этого инцидента уязвимость была зарегистрирована в BDU ФСТЭК под идентификатором BDU:2025-04539, что делает ее важной деталью, которую следует учитывать организациям, использующим CMS Bitrix, поскольку она может подвергнуть их потенциальным атакам, если они не обеспечат своевременное обновление и исправление. Сложившаяся ситуация подчеркивает острую необходимость в бдительности и упреждающих мерах по устранению системных уязвимостей, особенно тех, которые остаются без внимания в широко используемых программных решениях.

#ParsedReport #CompletenessLow
14-11-2025

FortiWeb Path Traversal Exploit Actively Targeted: What You Need to Know

https://socradar.io/fortiweb-path-traversal-exploit-actively-targeted/

Report completeness: Low

Victims:
Fortinet fortiweb users, Fortiweb admins, Internet facing management interfaces

ChatGPT TTPs:
do not use without manual check
T1068, T1078.003, T1106, T1136.001, T1190, T1595.001

IOCs:
IP: 3

Links:
have more...
https://github.com/watchtowrlabs/watchTowr-vs-Fortiweb-AuthBypass

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно обнаруженная уязвимость обхода путей в устройствах Fortinet FortiWeb позволяет злоумышленникам, не прошедшим проверку подлинности, создавать учетные записи локальных администраторов, получая полный доступ к интерфейсам управления. Активные попытки использования, подтвержденные исследованиями Rapid7, нацелены на уязвимые версии 8.0.2 и более ранние, с доказательством концепции, демонстрирующей успешный доступ после неудачного входа в систему. Сканирование Shodan выявило более 700 уязвимых сайтов FortiWeb, в основном в США, что подчеркивает значительный риск продолжающихся атак.
-----

Недавно выявленная уязвимость в устройствах Fortinet FortiWeb привела к увеличению числа атак, использующих недокументированный обходной путь. Эта уязвимость позволяет злоумышленникам, не прошедшим проверку подлинности, создавать учетные записи локальных администраторов на целевых устройствах, предоставляя им полный доступ к интерфейсу управления. По состоянию на 6 октября, в данных honeypot были обнаружены признаки эксплуатации, указывающие на активные попытки сканирования и компрометации открытых экземпляров FortiWeb по всему миру.

Исследование, проведенное Rapid7, подтвердило, что только версия 8.0.2 FortiWeb эффективно устраняет эту уязвимость, возвращая ответ 403 Forbidden на попытки использования. Более ранние версии по-прежнему подвержены уязвимости, позволяющей несанкционированно создавать учетные записи администраторов. Было разработано доказательство концепции (PoC), демонстрирующее эффективность эксплойта после нескольких первоначальных неудачных попыток входа в систему, за которыми последовал успешный доступ через недавно созданную учетную запись администратора.

Анализ Shodan выявил более 700 уязвимостей в FortiWeb, в основном в Соединенных Штатах. Такая уязвимость вызывает опасения, особенно когда интерфейсы управления доступны для общественности, что делает их основными объектами во время активных кампаний.

#ParsedReport #CompletenessMedium
15-11-2025

Analyzing What Appears to Be GNNCRY's macOS Test Build

https://denwp.com/gnncrys-macos-test-build/

Report completeness: Medium

Threats:
Gonnacry

Victims:
Linux users, Macos users

Geo:
Portuguese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1083, T1486

IOCs:
File: 2
Hash: 1

Soft:
macOS, Linux, Gatekeeper

Algorithms:
zip, sha256, aes

Functions:
_get_home_enviroment, _get_desktop_enviroment, _get_username, _get_trash_path, _get_media_path, _find_files, _encrypt_files, _create_files_desktop, strtok, _get_filename_ext, have more...

Win API:
ARC

Platforms:
apple, arm

YARA: Found

Links:
have more...
https://github.com/tarcisio-marinho/GonnaCry?ref=denwp.com
https://github.com/tarcisio-marinho?ref=denwp.com

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 9, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель GNNCRY, первоначально выпущенная в 2017 году PoC для Linux, имеет вредоносные варианты, нацеленные на Linux и macOS, демонстрирующие методы шифрования и нацеливания на файлы. Вариант macOS использует рекурсивный обход каталога для поиска файлов с определенными расширениями и шифрует их с помощью алгоритма Blowfish, генерируя ключи с помощью функции rand() стандартной библиотеки C. Несмотря на свои возможности, он классифицируется как неотвратимая угроза, служащая скорее учебным пособием, чем активным источником риска вредоносного ПО.
-----

Программа-вымогатель GNNCRY, известная в основном как GonnaCry, представляет собой вариант PoC (proof-of-concept), первоначально разработанный в 2017 году Тарчио Мариньо для систем Linux. Он служит учебным пособием, иллюстрирующим механику программ-вымогателей и методы шифрования, но к 2021 году появились варианты вредоносных программ, нацеленных на среды Linux. Это расширение привело к появлению реальных случаев, когда пользовательские файлы шифруются и требуется выкуп в криптовалюте, что побудило антивирусные решения активизировать усилия по обнаружению.

Рассматриваемый вариант macOS демонстрирует поведение, аналогичное его аналогу в Linux. В ходе первоначального анализа был обнаружен жестко закодированный список с подробным описанием целевых расширений файлов, включая различные типы документов, изображений, архивов и баз данных, а также текстовое уведомление о выкупе. Статический анализ показал, что поток выполнения отражает оригинальную концепцию Linux proof-of-concept, хотя и адаптирован для macOS. В частности, вредоносное ПО содержит переменную пути в виде открытого текста, намекающую на среду разработчика, предполагающую, что оно было либо создано, либо протестировано в этом контексте.

Вредоносное ПО использует метод рекурсивного обхода каталогов с помощью функции _find_files() для поиска файлов с предопределенными расширениями. Как только цели идентифицированы, запускается шифрование. 16-байтовый вектор инициализации (IV) и 32-байтовый ключ генерируются с использованием функции _generate_key, хотя, что примечательно, используемый алгоритм Blowfish требует только первых 16 байт этого ключа. Процесс шифрования происходит на месте и управляется функцией _encrypt().

Что касается генерации ключей, GNNCRY использует функцию rand() стандартной библиотеки C, в которой отсутствует криптографически защищенный генератор псевдослучайных чисел (CSPRNG), что вызывает опасения по поводу ее случайности и общей безопасности. Структура сохраненных ключей соответствует определенному порядку, при этом 32-байтовому ключу предшествует 16-байтовый IV, а затем путь к зашифрованному файлу, обозначаемый расширением .GNNCRY; важно отметить, что исходный путь к открытому тексту не сохраняется.

Динамическое тестирование в системе macOS подтвердило, что образец GNNCRY выдает типичные предупреждения системы безопасности, указывающие на то, что он может представлять опасность. В конечном счете, GNNCRY классифицируется как неотвратимая угроза для пользователей macOS; он остается тестовым PoC, демонстрирующим, как может функционировать программа-вымогатель, освещая важные технические аспекты, касающиеся ее таргетинга на файлы, методов шифрования и управления ключами, не представляя активной угрозы в текущем киберпространстве.

#ParsedReport #CompletenessLow
14-11-2025

Microsoft Office Russian Dolls

https://dshield.org/diary/Microsoft+Office+Russian+Dolls/32484/

Report completeness: Low

Threats:
Formbook

Geo:
Russian

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.005, T1203, T1566.001

IOCs:
Hash: 2
Path: 1

Soft:
Microsoft Office

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Последние тенденции указывают на увеличение количества вредоносных документов Microsoft Office, в частности, использующих формат расширенного текста (RTF) для использования уязвимости CVE-2017-11882 в Microsoft Office, которая позволяет выполнять произвольный код с помощью созданных файлов RTF. Хотя частота этих атак снизилась из-за ужесточения правил выполнения макросов корпорацией Майкрософт, злоумышленники по-прежнему эффективно используют RTF-документы для обхода мер безопасности. Это подчеркивает сохраняющиеся риски, связанные с уязвимостями в широко используемых приложениях на фоне меняющейся тактики кибератакующих.
-----

Последние тенденции в области киберугроз привели к возрождению вредоносных документов Microsoft Office, в частности, к использованию уязвимостей, позволяющих использовать эти файлы. Один из примечательных методов предполагает использование документов в формате расширенного текста (RTF), ориентированных на CVE-2017-11882. Эта уязвимость связана с определенным недостатком безопасности в Microsoft Office, который позволяет злоумышленникам выполнять произвольный код с помощью созданных RTF-файлов.

Несмотря на сокращение количества вредоносных документов Office благодаря введению корпорацией Майкрософт более строгих правил для предотвращения автоматического выполнения макросов VBA, злоумышленники продолжают эффективно использовать эти документы в формате RTF. Этот вектор атаки отражает более широкую схему адаптации тактики в ответ на улучшения безопасности в программных приложениях. Использование эксплойтов RTF служит напоминанием о сохраняющихся рисках, связанных с уязвимостями в широко используемых приложениях, иллюстрируя, как кибератакеры могут творчески обходить меры защиты.

Эта ситуация демонстрирует необходимость в бдительном мониторинге и стратегиях проактивной защиты от таких методов, которые используют известные уязвимости и меняют ожидания пользователей в отношении безопасности документов. Поскольку злоумышленники совершенствуют свои методы, постоянное обновление протоколов безопасности программного обеспечения и повышение осведомленности пользователей имеют решающее значение для снижения рисков, связанных с таким использованием.

#ParsedReport #CompletenessMedium
14-11-2025

NotDoor Insights: A Closer Look at Outlook Macros and More

https://www.splunk.com/en_us/blog/security/notdoor-insights-a-closer-look-at-outlook-macros-and-more.html

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Notdoor
Dll_hijacking_technique
Dll_sideloading_technique
Procmon_tool

Geo:
Spanish

TTPs:
Tactics: 2
Technics: 4

IOCs:
Command: 1
Path: 2
File: 15
Hash: 2

Soft:
Outlook, curl, Microsoft Outlook, Windows Registry, Slack

Algorithms:
base64

Languages:
powershell

Platforms:
arm

Links:
have more...
https://github.com/splunk/attack\_data/
https://github.com/splunk/security\_content

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания вредоносного ПО NotDoor нацелена на Microsoft Outlook, используя его уязвимости для получения несанкционированного доступа. Он использует DLL sideloading для запуска вредоносного кода под видом законных процессов, используя скомпрометированный SSPICLI.dll и закодированный механизм выполнения команд PowerShell. Атака использует возможности макросов Outlook VBA, при этом запутанный макрос действует как канал команд и управления, манипулируя записями реестра для обеспечения закрепления при запуске.
-----

Кампания вредоносного ПО NotDoor использует несколько методов для использования уязвимостей в Microsoft Outlook и получения несанкционированного доступа к пользовательским системам. Проникнув в среду, злоумышленники размещают Вредоносные файлы в C:\ProgramData каталог. Компоненты включают в себя законный OneDrive.exe исполняемый файл, помогающий в этом процессе, наряду с вредоносным SSPICLI.dll который загружается с помощью OneDrive, переименованной версии оригинала sspicli.dll , и ini-файл, содержащий бэкдор макроса VBA, который облегчает атаку.

Одним из известных методов, используемых в этой кампании, является DLL Sideloading, которая является тактикой для перехвата файлов библиотеки динамических ссылок. Этот метод использует способ, которым приложения Windows ищут и загружают библиотеки DLL, позволяя злоумышленникам запускать вредоносный код под видом законных процессов. Кроме того, команды PowerShell, закодированные в base64, выполняются загруженной библиотекой DLL, что еще больше повышает скрытность вредоносных операций.

Вредоносное ПО NotDoor использует возможность Outlook сохранять макросы в одном файле VBAProject.otm, расположенном в каталоге APPDATA пользователя. Этот файл объединяет макросы VBA, потенциально позволяя вредоносным акторам манипулировать обработкой электронной почты и автоматизировать задачи из приложения. Как только вредоносный макрос внедрен, он может действовать как канал управления (C2), выполняя задачи при получении новых электронных писем или при запуске Outlook. Макрос разработан с использованием методов запутывания, использующих рандомизированные имена переменных и пользовательское строковое кодирование, чтобы избежать обнаружения.

Чтобы гарантировать запуск макроса при запуске, вредоносное ПО изменяет определенные записи реестра, такие как ключ LoadMacroProviderOnBoot, который управляет автоматической загрузкой макросов. Эта манипуляция подчеркивает необходимость постоянного мониторинга разделов реестра Outlook, которые управляют безопасностью макросов.

Чтобы снизить риски, связанные с NotDoor и подобными угрозами, для служб безопасности крайне важно внедрить методы обнаружения, нацеленные на аномальное поведение, связанное с макросами Outlook. Идентифицирующий создание и модификацию VBAProject.Файл OTM с помощью процессов, отличных от Outlook.exe это необходимо для распознавания потенциально вредоносных действий. Кроме того, мониторинг подозрительных изменений в реестре и закодированные команды PowerShell могут еще больше расширить возможности обнаружения угроз.

#ParsedReport #CompletenessLow
14-11-2025

Top 10 Malware Q3 2025

https://www.cisecurity.org/insights/blog/top-10-malware-q3-2025

Report completeness: Low

Actors/Campaigns:
Smartapesg

Threats:
Socgholish_loader
Coinminer
Agent_tesla
Venomrat
Gh0st_rat
Nanocore_rat
Lumma_stealer
Jackpos
Netsupportmanager_rat
Asyncrat
Cobalt_strike_tool

Victims:
State local tribal and territorial government entities, Payment processing

Industry:
Financial, Government

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1047, T1056.001, T1059, T1059.007, T1090, T1105, have more...

IOCs:
Domain: 31
Hash: 49

Soft:
Telegram

Algorithms:
sha256

Languages:
java, javascript