#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT31, группа кибершпионажа, нацелилась на российский ИТ-сектор, используя передовые технологии и целый ряд вредоносных ПО. Они получают первоначальный доступ с помощью Целевого фишинга и используют Облачные сервисы для управления, используя такие инструменты, как WmiExec от Impacket's и RDP для перемещения внутри компании. Их вредоносное ПО, включая CloudyLoader и LocalPlugx, использует тактику уклонения, такую как шифрование и запутывание, в то время как они извлекают данные из облачных хранилищ, используя.Сетевые утилиты и используют эффективную тактику обхода защиты, включая очистку журналов и VPN-подключения.
-----

APT31, группа кибершпионажа, специализирующаяся на промышленных кражах и интеллектуальной собственности, недавно нацелилась на российский ИТ-сектор, используя сложные методы и разнообразное вредоносное ПО. Злоумышленник использует Облачные сервисы, в частности российские платформы, в качестве механизмов управления (C2), повышая свою способность действовать скрытно.

Их первоначальный доступ был обеспечен с помощью скомпрометированной инфраструктуры, начиная уже с конца 2022 года. Заметным методом, использованным для закрепления, было использование методов Целевого фишинга с помощью специально созданных вложений, которые развертывали вредоносное ПО, такое как CloudyLoader. Злоумышленники используют подготовленные сценарии для перемещения внутри компании в сетях, используя такие инструменты, как WmiExec от Impacket's, SmbExec и Протокол удаленного рабочего стола (RDP) для привилегированного доступа и управления системой.

Примечательно, что APT31's использует механизмы закрепления, которые включают в себя манипулирование планировщиком задач Windows с именами задач, напоминающими законные приложения, тем самым создавая запланированные задачи для выполнения их полезной нагрузки. Такие методы, как DLL sideloading, были широко распространены, примером чего являются бэкдоры LocalPlugx и COFFProxy. LocalPlugx, например, маскирует свою функциональность в рамках общей исполняемой структуры, в то время как COFFProxy поддерживает команды для туннелирования и манипулирования файлами.

Арсенал APT31's вредоносного ПО пополнился различными образцами, такими как AufTime, который взаимодействует через библиотеку wolfSSL и нацелен на системы Linux, и CloudSorcerer, структурированный аналогично LocalPlugx, но использующий другой механизм доставки полезной нагрузки. Каждый из этих бэкдоров использует тактику уклонения, такую как шифрование и обфускация, чтобы избежать обнаружения при выполнении своих функций.

Группа также продемонстрировала эффективную тактику эксфильтрации данных, используя утилиты, разработанные в .NET, для передачи украденной информации в облачные хранилища, такие как Яндекс. Их сообщения управления тщательно шифруются с использованием пользовательской реализации RC4, гарантирующей защиту коммуникаций от перехвата.

Кроме того, APT31 обладает мощными возможностями обхода защиты, включая очистку журналов и создание исключений в брандмауэре Windows для облегчения работы вредоносного ПО без запуска предупреждений. Они также устанавливают зашифрованные одноранговые VPN-соединения, используя законные программные средства, эффективно маскируя свою деятельность от систем мониторинга безопасности.

Поскольку APT31 продолжает совершенствовать свои методы и расширять свой инструментарий новыми уязвимостями и векторами атак, угроза, которую они представляют, остается значительной, особенно в целевом секторе. Такая изощренность требует от потенциальных жертв постоянной бдительности и передовых контрмер.

#ParsedReport #CompletenessLow
25-11-2025

Commercial-Grade Mobile Spyware LANDFALL Underscores Evolving Mobile Threats

https://zimperium.com/blog/mobile-threat-watch/commercial-grade-mobile-spyware-landfall-underscores-evolving-mobile-threats

Report completeness: Low

Actors/Campaigns:
Landfall (motivation: cyber_espionage)

Victims:
Mobile users

ChatGPT TTPs:
do not use without manual check
T1123, T1203, T1430

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания шпионских программ для Android "LANDFALL" использует уязвимость zero-day в библиотеке обработки изображений крупного производителя смартфонов, используя в качестве способа доставки искаженные файлы изображений DNG, отправляемые через приложения для обмена сообщениями. Он использует цепочку эксплойтов с нулевым щелчком мыши, что позволяет устанавливать его без участия пользователя и получать обширный доступ к конфиденциальным данным, таким как микрофон, местоположение и контакты. Это подчеркивает растущую ориентацию мобильных устройств на шпионаж и значительные риски, которые они представляют для кибербезопасности.
-----

Недавний анализ выявил сложную шпионскую программу для Android под названием "LANDFALL", которая использует уязвимость zero-day в библиотеке обработки изображений известного производителя смартфонов. Эта кампания демонстрирует меняющийся ландшафт угроз, в котором мобильные устройства все чаще становятся мишенью для шпионажа. Механизм доставки шпионского ПО включал маскировку его вредоносной полезной нагрузки в искаженных файлах изображений DNG, которые распространялись через приложения для обмена сообщениями. Примечательно, что в атаке использовалась цепочка эксплойтов с нулевым щелчком мыши, позволяющая обойти традиционную антивирусную защиту, не требуя каких-либо действий от пользователя.

Как только шпионское ПО успешно устанавливается на устройство, оно получает широкие привилегии, позволяющие ему получать доступ к конфиденциальной информации, включая микрофон, данные о местоположении, журналы вызовов, фотографии и контакты. Такой уровень вторжения подчеркивает высокую степень риска мобильных конечных точек, что делает их главными мишенями для изощренных атак. Появление таких угроз подчеркивает важность обеспечения безопасности мобильных устройств, особенно в средах, где используются политики "Принеси свое собственное устройство" (BYOD), неуправляемые приложения или гибридные системы доступа. Обеспечение надежной мобильной безопасности становится важнейшим компонентом эффективной стратегии кибербезопасности для защиты от этих развивающихся угроз.

Итоговая версия нашего фришного портальчика.
Уже в эту субботу представлю его на CTI Meetup (который мы проводим с ребятами из INSECA)

З.ы. Как и обещал, в паблик версии все будет на русском (ну и аглицком) :)

Кто сегодня на ZN в Питере, пишите, пересечемся :)

#ParsedReport #CompletenessMedium
26-11-2025

The Golden Scale: 'Tis the Season for Unwanted Gifts

https://unit42.paloaltonetworks.com/new-shinysp1d3r-ransomware/

Report completeness: Medium

Actors/Campaigns:
Shinyhunters (motivation: information_theft, financially_motivated)
Scattered_lapsus_hunters (motivation: information_theft, cyber_criminal)
Shiny_spider

Threats:
Supply_chain_technique

Victims:
Salesforce, Gainsight, Crowdstrike, Saas platforms

Industry:
Retail, Entertainment

Geo:
New york

ChatGPT TTPs:
do not use without manual check
T1078, T1195, T1486, T1566.003, T1585.001

IOCs:
Url: 5
Hash: 3

Soft:
Salesforce, Telegram, Salesloft Drift, Linux, ESXi, HubSpot

Algorithms:
sha256

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-11-21-IOCs-for-ShinySp1d3r-ransomware.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В октябре 2025 года Scattered LAPSUS$ Hunters (SLSH) активизировали кибер-активность, в частности, выявив программу-вымогателя под названием "ShinySp1d3r", нацеленную на Windows, с планами на Linux и ESXi. Система Salesforce обнаружила необычное поведение, связанное с приложениями Gainsight, и потребовала принятия мер безопасности после потенциального нарушения, связанного со сторонними интеграциями. Кроме того, инсайдер скомпрометировал конфиденциальную информацию на сумму 25 000 долларов от Bling Libra, что свидетельствует о продолжающихся инсайдерских угрозах, связанных с SLSH.
-----

В октябре 2025 года альянс киберпреступников, известный как Scattered LAPSUS$ Hunters (SLSH), возобновил деятельность после непродолжительного периода бездействия, что ознаменовало всплеск киберугроз с приближением сезона отпусков. Подразделение 42 сообщило о возросшей активности этой группы, основываясь на результатах разведки с открытым исходным кодом и сообщениях, полученных из нового Telegram-канала, посвященного SLSH.

20 ноября 2025 года Salesforce признала необычную активность, связанную с приложениями, опубликованными Gainsight, что побудило компанию ограничить весь активный доступ и токены обновления, связанные с этими приложениями, и временно отозвать их из своего AppExchange на время расследования инцидента. Этот шаг указывает на потенциальное нарушение безопасности, влияющее на сторонние интеграции, и подчеркивает текущие угрозы со стороны SLSH.

Кроме того, 19 ноября 2025 года появилась программа под названием "ShinySp1d3r" в качестве новой инициативы "Программа-вымогатель как услуга", которая все еще находится в разработке SLSH. Изначально разработанный для систем Windows, существуют планы по выпуску будущих версий, ориентированных на системы Linux и ESXi, что указывает на намерение акторов расширить вектор своих атак.

Также появились инсайдерские угрозы, о чем свидетельствует событие 21 ноября 2025 года, когда инсайдер поделился с SLSH конфиденциальными скриншотами внутренней системы, которые впоследствии были опубликованы в их Telegram-канале. Хотя CrowdStrike подтвердила, что вовлеченное лицо было уволено и что их системы оставались в безопасности, сообщалось, что Bling Libra предложила инсайдеру 25 000 долларов за доступ к сети CrowdStrike, демонстрируя сохраняющиеся риски, связанные с сотрудничеством инсайдеров с киберпреступными группами.

В свете этих событий 24 ноября 2025 года Gainsight объявила о приостановке подключений к другим платформам SaaS, включая HubSpot и Zendesk, в качестве меры предосторожности в ответ на атаку Цепочки поставок. Они также посоветовали клиентам поменять свои ключи S3, чтобы снизить дальнейшие риски. В совокупности эти инциденты иллюстрируют тревожную тенденцию в киберугрозах со стороны SLSH group и служат напоминанием организациям о необходимости усилить свою защиту по мере приближения сезона высокого риска кибератак.

#ParsedReport #CompletenessMedium
26-11-2025

Old tech, new vulnerabilities: NTLM abuse, ongoing exploitation in 2025

https://securelist.com/ntlm-abuse-in-2025/118132/

Report completeness: Medium

Actors/Campaigns:
Blindeagle (motivation: cyber_espionage)
Head_mare (motivation: hacktivism)

Threats:
Smbrelay_tool
Mitm_technique
Petitpotam_vuln
Printerbug_tool
Passthehash_technique
Mimikatz_tool
Impacket_tool
Ntlmrelayx_tool
Wmiexec_tool
Remcos_rat
Smokeloader
Shadowladder
Secretsdump_tool
Smbexec_tool
Smbmap_tool
Phantomcore
Avemaria_rat

Victims:
Colombian entities, Financial sector

Industry:
Education, Government

Geo:
Uzbekistan, Russian, Belarusian, Colombian, Russia, Latin american

CVEs:
CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20826)
- microsoft windows_10_1607 (<10.0.14393.7515)
- microsoft windows_10_1809 (<10.0.17763.6532)
- microsoft windows_10_21h2 (<10.0.19044.5131)
- microsoft windows_10_22h2 (<10.0.19045.5131)
have more...
CVE-2025-24071 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20947)
- microsoft windows_10_1607 (<10.0.14393.7876)
- microsoft windows_10_1809 (<10.0.17763.7009)
- microsoft windows_11_23h2 (<10.0.22631.5039)
- microsoft windows_11_24h2 (<10.0.26100.3476)
have more...
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)

CVE-2025-24054 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20947)
- microsoft windows_10_1607 (<10.0.14393.7876)
- microsoft windows_10_1809 (<10.0.17763.7009)
- microsoft windows_10_21h2 (<10.0.19044.5608)
- microsoft windows_10_22h2 (<10.0.19045.5608)
have more...
CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.21034)
- microsoft windows_10_1607 (<10.0.14393.8148)
- microsoft windows_10_1809 (<10.0.17763.7434)
- microsoft windows_10_21h2 (<10.0.19044.5965)
- microsoft windows_10_22h2 (<10.0.19045.5965)
have more...

ChatGPT TTPs:
do not use without manual check
T1187, T1210, T1550.002, T1557, T1557.001, T1566

IOCs:
File: 5
Domain: 1
IP: 2

Soft:
MSSQL, Active Directory, PsExec, MSHTML engine, Internet Explorer, SMB server, Windows SMB client

Algorithms:
zip, base64

Functions:
Out-Minidump

Win API:
MiniDumpWriteDump

Win Services:
NTLMSSP

Languages:
powershell

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимости аутентификации NTLM остаются мишенью для хакерских группировок, которые используют различные методы атак, включая пересылку учетных данных, атаки на основе принуждения, утечку хэша и атаки man-in-the-middle (MitM). Недавние уязвимости, такие как CVE-2024-43451, CVE-2025-24054 и CVE-2025-33073, усугубляют эти угрозы, обеспечивая несанкционированный доступ и повышение привилегий в средах Windows, при этом отмечается, что такие группы, как BlindEagle APT, используют методы фишинга для распространения вредоносных полезных данных. Конкретные примеры включают атаки с использованием созданных файлов и модифицированного программного обеспечения для обхода аутентификации и утечки хэша, которые оказывают воздействие на организации в таких регионах, как Колумбия и Россия.
-----

Закрепление уязвимостей аутентификации NTLM продолжает привлекать хакерские группировки, которые используют многочисленные векторы атак. NTLM, протокол "запрос-ответ", используемый для аутентификации в средах Windows, подвержен целому ряду методов эксплойта из-за присущих ему конструктивных ограничений. Среди этих методов - пересылка учетных данных, атаки на основе принуждения, утечка хэша и атаки man-in-the-middle (MitM), все из которых используют отсутствие в протоколе современных мер безопасности.

Утечка хэша обычно возникает из-за созданных файлов или Вредоносных ссылок, которые вызывают автоматическую проверку подлинности NTLM на ресурсах, контролируемых злоумышленником, что позволяет пассивно использовать хэши аутентификации. Атаки, основанные на принуждении, которые не требуют взаимодействия с пользователем, используют такие инструменты, как PetitPotam, чтобы заставить целевую систему инициировать аутентификацию в службе злоумышленника, позволяя перехватывать и ретранслировать хэши аутентификации. Переадресация учетных данных также позволяет злоумышленникам выдавать себя за пользователей в разных системах, используя ранее захваченные токены NTLM, используя метод Pass-the-Hash без использования оригинальных паролей, особенно распространенный в средах с неправильно настроенными процессами единого входа.

Недавние уязвимости усилили эти риски, включая CVE-2024-43451, которые могут привести к утечке хэшей паролей NTLMv2 при минимальном взаимодействии с пользователем. Эта уязвимость была использована в недавней атаке APT-группировки BlindEagle, нацеленной на колумбийские организации, где они использовали тактику фишинга для доставки модифицированного Remcos RAT через созданные файлы .url. Соответствующая инфраструктура позволяла осуществлять прямое взаимодействие с сервером WebDAV, контролируемым злоумышленниками.

Мошенничество, использующее CVE-2025-24054, уязвимость, связанную с утечкой хэша NTLM в различных версиях Windows, показывает, как созданные файлы могут инициировать запросы аутентификации, тем самым компрометируя учетные данные. Примечательно, что в России были обнаружены атаки с использованием обманчивых ZIP-файлов, содержащих вредоносное ПО.библиотека - файлы ms, которые запрашивали аутентификацию NTLM на серверах, контролируемых злоумышленником.

CVE-2025-33073 - еще одна значительная уязвимость, позволяющая прошедшим проверку подлинности злоумышленникам манипулировать аутентификацией SMB, что приводит к повышению привилегий путем принуждения системы жертвы к повторной аутентификации самой себя. Это было замечено в подозрительной деятельности в финансовом секторе Узбекистана.

#ParsedReport #CompletenessMedium
26-11-2025

Bloody Wolf: A Blunt Crowbar Threat To Justice

https://www.group-ib.com/blog/bloody-wolf/

Report completeness: Medium

Actors/Campaigns:
Bloody_wolf

Threats:
Spear-phishing_technique
Netsupportmanager_rat
Strrat
Credential_stealing_technique

Victims:
Government institutions, It and telecommunications, Financial entities, Private organizations, Commercial organizations

Industry:
Education, Military, Government, Financial, Healthcare, Telco

Geo:
Asian, Russia, Kyrgyzstan, Russian, Uzbekistan, Kazakhstan, Asia

TTPs:
Tactics: 5
Technics: 10

IOCs:
File: 2
Path: 3
Command: 3
Registry: 2
Hash: 62
Domain: 11

Soft:
Linux

Algorithms:
sha256

Functions:
createTempFiles

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Bloody Wolf - APT-группировка, действующая с конца 2023 года, нацеленная на Центральную Азию и Россию с помощью Целевых фишингов кампаний, которые выдают себя за правительственные учреждения, в первую очередь Министерства юстиции. Цепочка их атак начинается с вредоносных PDF-вложений, ведущих к загрузке JAR-файлов, которые служат загрузчиками ПО для удаленного доступа. Первоначально используя вредоносное ПО STRRAT, они теперь используют законное программное обеспечение NetSupport Manager для несанкционированного доступа и эксфильтрации данных, демонстрируя свою способность использовать надежные технологии против различных секторов, включая правительство и финансы.
-----

Bloody Wolf - это APT-группировка, занимающаяся распространением устойчивых угроз, которая действует с конца 2023 года и продолжит действовать в 2025 году, особенно в Центральной Азии и России. Тактика группы включает в себя кампании по Целевому фишингу, в ходе которых они выдают себя за правительственные учреждения, в частности Министерства юстиции, чтобы завоевать доверие своих жертв. С помощью этого метода они распространяют вредоносные PDF-вложения, которые приводят к запуску цепочки их атак.

Их цепочка заражения начинается с Целевого фишинга по электронной почте, содержащей PDF-файл, содержащий Вредоносные ссылки, замаскированные под "материалы дела". При обращении к этим ссылкам запускается загрузка файла Java Archive (JAR), который действует как загрузчик для дополнительного вредоносного ПО, в частности ПО для удаленного доступа. Использование JAR-файлов, созданных с помощью пользовательского генератора, позволяет Bloody Wolf избегать обнаружения антивирусом из-за их небольшого размера и использования Java, устоявшейся технологии с присущей ей легитимностью.

Первоначально Bloody Wolf использовал коммерческое вредоносное ПО STRRAT в своих кампаниях; однако в последнее время деятельность переключилась на использование законного программного обеспечения NetSupport Manager. Этот инструмент обычно используется для удаленного управления в различных секторах, включая образование и здравоохранение, но в руках злоумышленников он облегчает несанкционированный удаленный доступ и эксфильтрацию данных. Использование группой такого коммерчески доступного программного обеспечения показывает, как обычные инструменты могут быть перепрофилированы для злонамеренных целей.

Основными отраслями, на которые нацелен Bloody Wolf, являются государственные учреждения, сектор информационных технологий и телекоммуникаций, финансовые организации, а также частные и коммерческие структуры. Стратегия группы не только подчеркивает их технические возможности, но и демонстрирует их понимание социальной инженерии; используя надежность государственных органов, они повышают вероятность успешных попыток фишинга.

Для предотвращения заражения организациям рекомендуется внедрять строгие меры контроля, такие как блокирование выполнения файла JAR, отключение Java runtime в средах, где это не является необходимым, и применение строгих методов проверки вложений PDF в электронной почте. Кроме того, обучение сотрудников распознавать неожиданные официальные сообщения и осторожно реагировать на них имеет решающее значение для предотвращения подобных атак.

#ParsedReport #CompletenessLow
25-11-2025

Malicious Chrome Extension Injects Hidden SOL Fees Into Solana Swaps

https://socket.dev/blog/malicious-chrome-extension-injects-hidden-sol-fees-into-solana-swaps

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Cryptocurrency traders, Solana users

TTPs:
Tactics: 2
Technics: 4

IOCs:
File: 3
Domain: 2

Soft:
Chrome, Raydium, Twitter

Wallets:
solflare

Crypto:
solana

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное расширение Chrome Crypto Copilot нацелено на трейдеров Solana, манипулируя свопами Raydium для введения скрытых комиссий, действуя на уровне построения транзакций. Он включает в себя жестко заданную плату за платформу и использует инструкцию SystemProgram.transfer для перекачивания средств, вводя пользователей в заблуждение и заставляя их подписывать законные транзакции. Дизайн расширения позволяет широко отслеживать действия пользователей и потенциальное использование без необходимости обновлений, что вызывает серьезные опасения у пользователей по поводу безопасности.
-----

Недавнее исследование, проведенное компанией Socket, выявило вредоносное расширение для Chrome, известное как Crypto Copilot, которое нацелено на трейдеров Solana, манипулируя свопами Raydium для введения скрытых платежей SOL. Это расширение маскируется под инструмент, предназначенный для удобства, утверждая, что оно облегчает обмен данными непосредственно из Twitter, однако скрывает свои вредоносные действия, не раскрывая никаких дополнительных сборов или переводов в рамках своего маркетинга.

Вредоносный механизм работает на уровне построения транзакций расширения. После сборки инструкций по обмену для Raydium расширение вычисляет жестко заданную плату платформы и добавляет к транзакции инструкцию SystemProgram.transfer. Этот метод позволяет злоумышленнику перекачивать криптовалюту, направляя нераскрытую комиссию на свой кошелек, и все это при получении подписи пользователя под предлогом совершения законной сделки.

Архитектура расширения вызывает беспокойство, поскольку оно включает жестко закодированный ключ API Helius и ссылается на несколько узлов RPC. Несмотря на то, что создание свопа происходит на стороне клиента, дизайн предоставляет оператору значительную информацию о действиях пользовательского кошелька, включая подключенные учетные записи и поведение в торговле. Кроме того, этот централизованный серверный интерфейс позволяет оператору изменять логику или ответы на стороне сервиса без необходимости обновления расширения, расширяя возможности потенциального использования.

Для пользователей, участвующих в сделках Solana, крайне важно внимательно ознакомиться с инструкциями по транзакции перед подписанием, особенно в поисках любых неожиданных инструкций по системной программе.transfer. Рекомендуется избегать торговых расширений с закрытым исходным кодом, которые запрашивают разрешения на подпись, и удалять любые потенциально скомпрометированные расширения, такие как Crypto Copilot, с последующим переносом активов на неподключенные чистые кошельки. Пользователи должны убедиться, что расширения кошелька устанавливаются исключительно со страниц проверенных издателей, а не со случайных результатов поиска в интернет-магазине Chrome.

Командам безопасности рекомендуется использовать инструменты, которые анализируют поведение и потоки данных в расширениях браузера, выявляя манипулятивные методы и блокируя обновления, обнаруживающие признаки злонамеренного намерения, прежде чем они смогут повлиять на конечных пользователей. Инцидент согласуется с различными методами, описанными в MITRE ATT&CK framework, особенно в отношении Компрометации цепочки поставок, расширений браузера, выполнения JavaScript, запутанной информации и Кражи денежных средств.

#ParsedReport #CompletenessMedium
26-11-2025

Dark Web Profile: Berserk Bear

https://socradar.io/dark-web-profile-berserk-bear/

Report completeness: Medium

Actors/Campaigns:
Energeticbear (motivation: financially_motivated, cyber_espionage)
Sandworm
Static_tundra

Threats:
Havex_rat
Teamspy
Teamviewer_tool
Watering_hole_technique
Supply_chain_technique
Oldrea
Synful_knock
Passthehash_technique
Credential_dumping_technique
Hydra
Crackmapexec_tool
Mimikatz_tool
Secretsdump_tool
Spear-phishing_technique
Credential_harvesting_technique

Victims:
Critical infrastructure, Energy sector, Utilities, Government agencies, Municipal networks, Aviation systems, Telecommunications infrastructure, Academic and research institutions

Industry:
Energy, Ics, Education, Critical_infrastructure, Aerospace, Government, Telco

Geo:
America, Russian, Hungarian

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_server_1903 (*)
- microsoft windows_server_1909 (*)
- microsoft windows_server_2004 (-)
- microsoft windows_server_2008 (r2)
- microsoft windows_server_2012 (-, r2)
have more...
CVE-2011-0611 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (<10.2.154.27)

CVE-2018-0171 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios (15.2\(5\)e)


TTPs:
Tactics: 9
Technics: 58

IOCs:
File: 4

Soft:
PsExec, Outlook

Languages:
python, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 1