#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 2, dump: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Shedding Zmiy, проукраинская хакерская группировка, использующая утилиту под названием "Install" для использования уязвимости zero-day в устаревших версиях системы управления контентом Bitrix, способствующей повышению привилегий после несанкционированного доступа к веб-серверу. Уязвимость, относящаяся к версиям до 9.0.5, остается не исправленной в этих установках, создавая значительные риски до тех пор, пока она не будет устранена. Эта проблема была занесена в каталог под идентификатором BDU:2025-04539 BDU ФСТЭК, подчеркивая настоятельную необходимость своевременного обновления программного обеспечения для предотвращения эксплуатации.
-----

Shedding Zmiy, проукраинская хакерская группировка, использующая утилиту под названием "Install", которая использует уязвимость в настройках системной среды системы управления контентом Bitrix (CMS). На момент обнаружения эта уязвимость была идентифицирована как zero-day, что указывает на то, что она еще не была исправлена. Утилита специально разработана для облегчения повышения привилегий в инфраструктуре после получения несанкционированного доступа к веб-серверу.

Уязвимость связана с недостатками конфигурации, присутствующими в устаревших версиях Bitrix, в частности, до версии 9.0.5. Это говорит о том, что установки CMS, которые не были обновлены, могут быть особенно подвержены тактике, используемой Shedding Zmiy. Примечательно, что поставщик CMS был оперативно проинформирован об уязвимости, что привело к быстрому устранению, впоследствии подчеркнув важность поддержания обновленного программного обеспечения для снижения таких рисков.

В результате этого инцидента уязвимость была зарегистрирована в BDU ФСТЭК под идентификатором BDU:2025-04539, что делает ее важной деталью, которую следует учитывать организациям, использующим CMS Bitrix, поскольку она может подвергнуть их потенциальным атакам, если они не обеспечат своевременное обновление и исправление. Сложившаяся ситуация подчеркивает острую необходимость в бдительности и упреждающих мерах по устранению системных уязвимостей, особенно тех, которые остаются без внимания в широко используемых программных решениях.

#ParsedReport #CompletenessLow
14-11-2025

FortiWeb Path Traversal Exploit Actively Targeted: What You Need to Know

https://socradar.io/fortiweb-path-traversal-exploit-actively-targeted/

Report completeness: Low

Victims:
Fortinet fortiweb users, Fortiweb admins, Internet facing management interfaces

ChatGPT TTPs:
do not use without manual check
T1068, T1078.003, T1106, T1136.001, T1190, T1595.001

IOCs:
IP: 3

Links:
have more...
https://github.com/watchtowrlabs/watchTowr-vs-Fortiweb-AuthBypass

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно обнаруженная уязвимость обхода путей в устройствах Fortinet FortiWeb позволяет злоумышленникам, не прошедшим проверку подлинности, создавать учетные записи локальных администраторов, получая полный доступ к интерфейсам управления. Активные попытки использования, подтвержденные исследованиями Rapid7, нацелены на уязвимые версии 8.0.2 и более ранние, с доказательством концепции, демонстрирующей успешный доступ после неудачного входа в систему. Сканирование Shodan выявило более 700 уязвимых сайтов FortiWeb, в основном в США, что подчеркивает значительный риск продолжающихся атак.
-----

Недавно выявленная уязвимость в устройствах Fortinet FortiWeb привела к увеличению числа атак, использующих недокументированный обходной путь. Эта уязвимость позволяет злоумышленникам, не прошедшим проверку подлинности, создавать учетные записи локальных администраторов на целевых устройствах, предоставляя им полный доступ к интерфейсу управления. По состоянию на 6 октября, в данных honeypot были обнаружены признаки эксплуатации, указывающие на активные попытки сканирования и компрометации открытых экземпляров FortiWeb по всему миру.

Исследование, проведенное Rapid7, подтвердило, что только версия 8.0.2 FortiWeb эффективно устраняет эту уязвимость, возвращая ответ 403 Forbidden на попытки использования. Более ранние версии по-прежнему подвержены уязвимости, позволяющей несанкционированно создавать учетные записи администраторов. Было разработано доказательство концепции (PoC), демонстрирующее эффективность эксплойта после нескольких первоначальных неудачных попыток входа в систему, за которыми последовал успешный доступ через недавно созданную учетную запись администратора.

Анализ Shodan выявил более 700 уязвимостей в FortiWeb, в основном в Соединенных Штатах. Такая уязвимость вызывает опасения, особенно когда интерфейсы управления доступны для общественности, что делает их основными объектами во время активных кампаний.

#ParsedReport #CompletenessMedium
15-11-2025

Analyzing What Appears to Be GNNCRY's macOS Test Build

https://denwp.com/gnncrys-macos-test-build/

Report completeness: Medium

Threats:
Gonnacry

Victims:
Linux users, Macos users

Geo:
Portuguese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1083, T1486

IOCs:
File: 2
Hash: 1

Soft:
macOS, Linux, Gatekeeper

Algorithms:
zip, sha256, aes

Functions:
_get_home_enviroment, _get_desktop_enviroment, _get_username, _get_trash_path, _get_media_path, _find_files, _encrypt_files, _create_files_desktop, strtok, _get_filename_ext, have more...

Win API:
ARC

Platforms:
apple, arm

YARA: Found

Links:
have more...
https://github.com/tarcisio-marinho/GonnaCry?ref=denwp.com
https://github.com/tarcisio-marinho?ref=denwp.com

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 9, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель GNNCRY, первоначально выпущенная в 2017 году PoC для Linux, имеет вредоносные варианты, нацеленные на Linux и macOS, демонстрирующие методы шифрования и нацеливания на файлы. Вариант macOS использует рекурсивный обход каталога для поиска файлов с определенными расширениями и шифрует их с помощью алгоритма Blowfish, генерируя ключи с помощью функции rand() стандартной библиотеки C. Несмотря на свои возможности, он классифицируется как неотвратимая угроза, служащая скорее учебным пособием, чем активным источником риска вредоносного ПО.
-----

Программа-вымогатель GNNCRY, известная в основном как GonnaCry, представляет собой вариант PoC (proof-of-concept), первоначально разработанный в 2017 году Тарчио Мариньо для систем Linux. Он служит учебным пособием, иллюстрирующим механику программ-вымогателей и методы шифрования, но к 2021 году появились варианты вредоносных программ, нацеленных на среды Linux. Это расширение привело к появлению реальных случаев, когда пользовательские файлы шифруются и требуется выкуп в криптовалюте, что побудило антивирусные решения активизировать усилия по обнаружению.

Рассматриваемый вариант macOS демонстрирует поведение, аналогичное его аналогу в Linux. В ходе первоначального анализа был обнаружен жестко закодированный список с подробным описанием целевых расширений файлов, включая различные типы документов, изображений, архивов и баз данных, а также текстовое уведомление о выкупе. Статический анализ показал, что поток выполнения отражает оригинальную концепцию Linux proof-of-concept, хотя и адаптирован для macOS. В частности, вредоносное ПО содержит переменную пути в виде открытого текста, намекающую на среду разработчика, предполагающую, что оно было либо создано, либо протестировано в этом контексте.

Вредоносное ПО использует метод рекурсивного обхода каталогов с помощью функции _find_files() для поиска файлов с предопределенными расширениями. Как только цели идентифицированы, запускается шифрование. 16-байтовый вектор инициализации (IV) и 32-байтовый ключ генерируются с использованием функции _generate_key, хотя, что примечательно, используемый алгоритм Blowfish требует только первых 16 байт этого ключа. Процесс шифрования происходит на месте и управляется функцией _encrypt().

Что касается генерации ключей, GNNCRY использует функцию rand() стандартной библиотеки C, в которой отсутствует криптографически защищенный генератор псевдослучайных чисел (CSPRNG), что вызывает опасения по поводу ее случайности и общей безопасности. Структура сохраненных ключей соответствует определенному порядку, при этом 32-байтовому ключу предшествует 16-байтовый IV, а затем путь к зашифрованному файлу, обозначаемый расширением .GNNCRY; важно отметить, что исходный путь к открытому тексту не сохраняется.

Динамическое тестирование в системе macOS подтвердило, что образец GNNCRY выдает типичные предупреждения системы безопасности, указывающие на то, что он может представлять опасность. В конечном счете, GNNCRY классифицируется как неотвратимая угроза для пользователей macOS; он остается тестовым PoC, демонстрирующим, как может функционировать программа-вымогатель, освещая важные технические аспекты, касающиеся ее таргетинга на файлы, методов шифрования и управления ключами, не представляя активной угрозы в текущем киберпространстве.

#ParsedReport #CompletenessLow
14-11-2025

Microsoft Office Russian Dolls

https://dshield.org/diary/Microsoft+Office+Russian+Dolls/32484/

Report completeness: Low

Threats:
Formbook

Geo:
Russian

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.005, T1203, T1566.001

IOCs:
Hash: 2
Path: 1

Soft:
Microsoft Office

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Последние тенденции указывают на увеличение количества вредоносных документов Microsoft Office, в частности, использующих формат расширенного текста (RTF) для использования уязвимости CVE-2017-11882 в Microsoft Office, которая позволяет выполнять произвольный код с помощью созданных файлов RTF. Хотя частота этих атак снизилась из-за ужесточения правил выполнения макросов корпорацией Майкрософт, злоумышленники по-прежнему эффективно используют RTF-документы для обхода мер безопасности. Это подчеркивает сохраняющиеся риски, связанные с уязвимостями в широко используемых приложениях на фоне меняющейся тактики кибератакующих.
-----

Последние тенденции в области киберугроз привели к возрождению вредоносных документов Microsoft Office, в частности, к использованию уязвимостей, позволяющих использовать эти файлы. Один из примечательных методов предполагает использование документов в формате расширенного текста (RTF), ориентированных на CVE-2017-11882. Эта уязвимость связана с определенным недостатком безопасности в Microsoft Office, который позволяет злоумышленникам выполнять произвольный код с помощью созданных RTF-файлов.

Несмотря на сокращение количества вредоносных документов Office благодаря введению корпорацией Майкрософт более строгих правил для предотвращения автоматического выполнения макросов VBA, злоумышленники продолжают эффективно использовать эти документы в формате RTF. Этот вектор атаки отражает более широкую схему адаптации тактики в ответ на улучшения безопасности в программных приложениях. Использование эксплойтов RTF служит напоминанием о сохраняющихся рисках, связанных с уязвимостями в широко используемых приложениях, иллюстрируя, как кибератакеры могут творчески обходить меры защиты.

Эта ситуация демонстрирует необходимость в бдительном мониторинге и стратегиях проактивной защиты от таких методов, которые используют известные уязвимости и меняют ожидания пользователей в отношении безопасности документов. Поскольку злоумышленники совершенствуют свои методы, постоянное обновление протоколов безопасности программного обеспечения и повышение осведомленности пользователей имеют решающее значение для снижения рисков, связанных с таким использованием.

#ParsedReport #CompletenessMedium
14-11-2025

NotDoor Insights: A Closer Look at Outlook Macros and More

https://www.splunk.com/en_us/blog/security/notdoor-insights-a-closer-look-at-outlook-macros-and-more.html

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Notdoor
Dll_hijacking_technique
Dll_sideloading_technique
Procmon_tool

Geo:
Spanish

TTPs:
Tactics: 2
Technics: 4

IOCs:
Command: 1
Path: 2
File: 15
Hash: 2

Soft:
Outlook, curl, Microsoft Outlook, Windows Registry, Slack

Algorithms:
base64

Languages:
powershell

Platforms:
arm

Links:
have more...
https://github.com/splunk/attack\_data/
https://github.com/splunk/security\_content

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания вредоносного ПО NotDoor нацелена на Microsoft Outlook, используя его уязвимости для получения несанкционированного доступа. Он использует DLL sideloading для запуска вредоносного кода под видом законных процессов, используя скомпрометированный SSPICLI.dll и закодированный механизм выполнения команд PowerShell. Атака использует возможности макросов Outlook VBA, при этом запутанный макрос действует как канал команд и управления, манипулируя записями реестра для обеспечения закрепления при запуске.
-----

Кампания вредоносного ПО NotDoor использует несколько методов для использования уязвимостей в Microsoft Outlook и получения несанкционированного доступа к пользовательским системам. Проникнув в среду, злоумышленники размещают Вредоносные файлы в C:\ProgramData каталог. Компоненты включают в себя законный OneDrive.exe исполняемый файл, помогающий в этом процессе, наряду с вредоносным SSPICLI.dll который загружается с помощью OneDrive, переименованной версии оригинала sspicli.dll , и ini-файл, содержащий бэкдор макроса VBA, который облегчает атаку.

Одним из известных методов, используемых в этой кампании, является DLL Sideloading, которая является тактикой для перехвата файлов библиотеки динамических ссылок. Этот метод использует способ, которым приложения Windows ищут и загружают библиотеки DLL, позволяя злоумышленникам запускать вредоносный код под видом законных процессов. Кроме того, команды PowerShell, закодированные в base64, выполняются загруженной библиотекой DLL, что еще больше повышает скрытность вредоносных операций.

Вредоносное ПО NotDoor использует возможность Outlook сохранять макросы в одном файле VBAProject.otm, расположенном в каталоге APPDATA пользователя. Этот файл объединяет макросы VBA, потенциально позволяя вредоносным акторам манипулировать обработкой электронной почты и автоматизировать задачи из приложения. Как только вредоносный макрос внедрен, он может действовать как канал управления (C2), выполняя задачи при получении новых электронных писем или при запуске Outlook. Макрос разработан с использованием методов запутывания, использующих рандомизированные имена переменных и пользовательское строковое кодирование, чтобы избежать обнаружения.

Чтобы гарантировать запуск макроса при запуске, вредоносное ПО изменяет определенные записи реестра, такие как ключ LoadMacroProviderOnBoot, который управляет автоматической загрузкой макросов. Эта манипуляция подчеркивает необходимость постоянного мониторинга разделов реестра Outlook, которые управляют безопасностью макросов.

Чтобы снизить риски, связанные с NotDoor и подобными угрозами, для служб безопасности крайне важно внедрить методы обнаружения, нацеленные на аномальное поведение, связанное с макросами Outlook. Идентифицирующий создание и модификацию VBAProject.Файл OTM с помощью процессов, отличных от Outlook.exe это необходимо для распознавания потенциально вредоносных действий. Кроме того, мониторинг подозрительных изменений в реестре и закодированные команды PowerShell могут еще больше расширить возможности обнаружения угроз.

#ParsedReport #CompletenessLow
14-11-2025

Top 10 Malware Q3 2025

https://www.cisecurity.org/insights/blog/top-10-malware-q3-2025

Report completeness: Low

Actors/Campaigns:
Smartapesg

Threats:
Socgholish_loader
Coinminer
Agent_tesla
Venomrat
Gh0st_rat
Nanocore_rat
Lumma_stealer
Jackpos
Netsupportmanager_rat
Asyncrat
Cobalt_strike_tool

Victims:
State local tribal and territorial government entities, Payment processing

Industry:
Financial, Government

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1047, T1056.001, T1059, T1059.007, T1090, T1105, have more...

IOCs:
Domain: 31
Hash: 49

Soft:
Telegram

Algorithms:
sha256

Languages:
java, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В третьем квартале 2025 года количество уведомлений о вредоносном ПО выросло на 38%, при этом SocGholish был доминирующей угрозой с 26% обнаружений, в основном выступая в качестве загрузчика JavaScript, распространяющего RATs, такие как NetSupport и AsyncRAT. CoinMiner, нацеленный на майнинг криптовалют, использует WMI для распространения, в то время как Agent Tesla и TeleGrab сосредоточены на краже данных посредством регистрации нажатий клавиш и сеансов Telegram. В этом квартале был освещен сложный ландшафт вредоносного ПО, отмеченный различными "крысами" и стиллерами информации, использующими передовые методы уклонения.
-----

В третьем квартале 2025 года частота уведомлений о вредоносном ПО выросла на 38%, что указывает на растущую картину киберугроз. Примечательно, что SocGholish оставался самым распространенным вредоносным ПО, на долю которого приходилось 26% обнаружений. Он функционирует как загрузчик, в основном написанный на JavaScript, и распространяется через вредоносные веб-сайты, которые выдают себя за законные обновления браузера. Заражения с SocGholish могут привести к дальнейшему использованию, включая развертывание ПО для удаленного доступа (RATs), таких как NetSupport и AsyncRAT.

Центр обмена информацией и анализа с несколькими штатами (MS-ISAC) определяет три основных источника заражения для топовых вредоносных ПО: Dropped, Malspam и Malvertisement, причем некоторые вредоносные ПО демонстрируют несколько методов заражения в зависимости от контекста.

Вслед за SocGholish в качестве серьезной угрозы появился CoinMiner, предназначенный для майнинга криптовалют. Это вредоносное ПО обычно использует Инструментарий управления Windows(WMI) для распространения по сетям и использует стандартный сценарий WMI для закрепления событий. CoinMiner может проникать в системы через malspam или в качестве дополнительной полезной нагрузки от другого вредоносного ПО.

Agent Tesla, еще одна RAT-программа, доступная на криминальных форумах, нацелена на системы Windows с такими возможностями, как регистрация нажатий клавиш, захват скриншотов, сбор учетных записей и эксфильтрация файлов. TeleGrab, стиллер информации, ориентированный на платформу Telegram, способен перехватывать сеансы чата и красть конфиденциальные пользовательские данные.

ZPHP, похожий на SocGholish, представляет собой загрузчик на основе JavaScript, который часто удаляет NetSupport RAT и Lumma Stealer вредоносное ПО. VenomRAT, RAT с открытым исходным кодом, распространяется через malspam или в качестве вспомогательной полезной нагрузки и включает в себя такие функции, как Регистрация нажатий клавиш и эксфильтрация данных. Gh0st RAT служит для создания бэкдоров для широкого контроля над скомпрометированными устройствами, в то время как NanoCore, также приобретенный через криминальные форумы, использует различные тактики для кражи данных и закрепления.

Lumma Stealer - это вредоносное ПО как услуга, которое нацелено на личную идентифицируемую информацию (PII) и обладает передовыми методами уклонения, позволяющими избежать обнаружения и анализа. Наконец, Jinupd, или JackPOS, - это стиллер информации, предназначенный для систем торговых точек, который извлекает информацию о кредитных картах из памяти, распространяет ее посредством загрузки с диска и обеспечивает закрепление с помощью изменений в реестре.

Результаты этого квартала подчеркивают разнообразную и сложную экосистему вредоносного ПО, угрожающую организациям, при этом ключевые тенденции указывают на продолжающееся использование RATs и стиллеров информации наряду с изощренными методами уклонения. Эта информация может облегчить поиск угроз и усилить защитные меры против развивающихся киберугроз.

#ParsedReport #CompletenessHigh
12-11-2025

DEV-1084 and MERCURY: Inside Irans DarkBit Ransomware Operations

https://www.picussecurity.com/resource/dev-1084-and-mercury-inside-irans-darkbit-ransomware-operations

Report completeness: High

Actors/Campaigns:
Darkbit (motivation: government_sponsored, financially_motivated, cyber_espionage)
Muddywater (motivation: government_sponsored, cyber_espionage)
Blackwater

Threats:
Ligolo_tool
Log4shell_vuln
Ehorus_tool
Aadinternals_tool
Shadow_copies_delete_technique
Vssadmin_tool
Quicksand

Victims:
Governments, Telecommunications, Energy, Middle east, Asia, Africa, Europe, North america

Industry:
Government, Energy, Telco

Geo:
Israeli, Iranian, Asia, Africa, Irans, Middle east, America, Iran

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 9
Technics: 9

IOCs:
IP: 1
Domain: 1
Coin: 1
File: 2

Soft:
ChatGPT, Rport, Azure AD, Active Directory, OpenSSH, ESXi

Algorithms:
aes

Functions:
Microsoft, Set-Mailbox, GetItem

Languages:
powershell, golang

#ParsedReport #GeneratedSchema
Generated with GPT-4