#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT15, китайская группа кибершпионажа, действующая с 2010 года, нацелена на правительственный и военный секторы по всему миру, проводя операции, подобные атаке "moviestar" в 2013 году, и используя уязвимости в общедоступных приложениях. Они используют сложные методы для первоначального доступа, включая spear phishing и использование уязвимостей Microsoft Exchange, а также используют продвинутые методы уклонения, такие как использование кодировки Base64 и Маскировка вредоносного ПО под законные сервисы. В 2022 году они внедрили бэкдор Graphican и продолжили работу через сеть ORB3 в 2023 году, продемонстрировав адаптивность и устойчивость.
-----

APT15, группа кибершпионажа, базирующаяся в Китае, действует примерно с 2010 года и провела множество громких кампаний, нацеленных на правительственный, дипломатический и военный секторы по всей Северной Америке, Европе и на Ближнем Востоке. Их операции включают в себя такие известные инциденты, как операция "moviestar" в 2013 году против европейских министерств иностранных дел, нападения на персонал посольства Индии в 2016 году и взлом подрядчика ВМС США в 2018 году. Даже после значительных сбоев, таких как разгон Microsoft в 2021 году, APT15 адаптировался и продолжил свою деятельность, в частности, внедрив новый бэкдор под названием Graphican в 2022 году и используя сеть ORB3 для операций в 2023 году.

APT15 использует множество методов атаки, описанных в рамках MITRE ATT&CK framework. Их тактика включает в себя приобретение инфраструктуры для связи командования и контроля (C2), о чем свидетельствует использование ими определенных доменов для управления скомпрометированными системами. Они часто собирают законные учетные данные пользователей с помощью различных средств, включая хранилища учетных данных, чтобы получить дополнительный доступ к конфиденциальным средам, таким как Microsoft 365. Первоначальный доступ часто получают путем использования уязвимостей в общедоступных приложениях, таких как Microsoft Exchange и Pulse Secure VPN, или путем spear phishing-атак с использованием вложений, предназначенных для имитации законных документов.

Оказавшись внутри целевой сети, APT15 использует несколько механизмов для закрепления, таких как изменение папок автозагрузки и использование запланированных задач, чтобы гарантировать запуск их вредоносных двоичных файлов при входе пользователя в систему. Они используют изощренные методы, такие как COM-модель компонентов в Internet Explorer для взаимодействия с серверами C2 и запутывание, чтобы скрыть свою полезную нагрузку от обнаружения, часто встраивая вредоносный код в, казалось бы, невинные файлы PNG. Чтобы еще больше избежать обнаружения, они настраивают свое вредоносное ПО так, чтобы оно маскировалось под законные сервисы, изменяя системные реестры и используя различные методы шифрования сетевого трафика с использованием шифрования AES.

Их операционное мастерство демонстрирует передовые стратегии уклонения, включая использование кодировки Base64 для данных, передаваемых на серверы C2, использование методов маскировки вредоносных URL-адресов под законный трафик и выполнение команд с использованием таких инструментов, как rundll32.exe для загрузки вредоносных библиотек. APT15 остается серьезной угрозой, демонстрируя устойчивость и адаптивность, несмотря на существенные контрмеры против их инфраструктуры. Их скрытые методы коммуникации, опора на методы социальной инженерии и использование уязвимостей отражают их постоянную способность проводить изощренные кампании кибершпионажа.

#ParsedReport #CompletenessLow
10-12-2025

Gogs 0-Day Exploited in the Wild

https://www.wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploit

Report completeness: Low

Threats:
Garble_tool
Supershell

Victims:
Technology

CVEs:
CVE-2025-8110 [Vulners]
CVSS V3.1: 8.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-56731 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gogs (<0.13.3)

CVE-2024-54148 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gogs (<0.13.1)

CVE-2024-55947 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gogs (<0.13.1)


IOCs:
Hash: 2
IP: 3

Algorithms:
sha1

Languages:
golang

Links:
have more...
https://github.com/advisories/GHSA-qf5v-rp47-55gg
https://github.com/gogs/gogs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Wiz Threat Research сообщает об активном использовании уязвимости zero-day, CVE-2025-8110, в Gogs, автономном Git-сервисе, хотя конкретные детали уязвимости остаются нераскрытыми. Эта эксплуатация указывает на то, что злоумышленники нацелены на системы, работающие под управлением Gogs, что подчеркивает риск непатентованных уязвимостей программного обеспечения. Ситуация подчеркивает сохраняющуюся угрозу, исходящую от злоумышленников, использующих такие слабые места в популярных приложениях.
-----

Профессионалом исследования угроз определил активной эксплуатации zero-day уязвимость, CVE-2025-8110, связанные с Гоги, резидентной службы ГИТ. Специфика окружающие уязвимость не вся, но ее эксплуатации показывает, что киберпреступники используют этот недостаток цель функционирования системы Гоги. Такого рода атаки zero-day часто нацелены на уязвимости, которые еще не были публично раскрыты или исправлены, что делает крайне важным для пострадавших организаций немедленное принятие мер по их устранению.

Учитывая природу таких уязвимостей, организациям, использующим Gogs, следует уделять приоритетное внимание обновлению своих систем и принятию мер безопасности, которые отслеживают любой несанкционированный доступ или необычные действия в их сетях. Стратегии исправления и ситуационная осведомленность становятся первостепенными в средах, использующих Gogs, до тех пор, пока не будет развернуто официальное исправление или обновление. Использование CVE-2025-8110 служит напоминанием о постоянной угрозе, исходящей от злоумышленников, стремящихся воспользоваться незадействованными уязвимостями программного обеспечения в широко используемых приложениях.

#ParsedReport #CompletenessHigh
11-12-2025

PyStoreRAT Intelligence Report

https://engage.morphisec.com/hubfs/2025_PDFs/PyStoreRAT_ThreatAnalysis.pdf

Report completeness: High

Threats:
Pystorerat
Rhadamanthys
Bitsadmin_tool
Dll_injection_technique

Geo:
Chinese, French, Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1053.005, T1059.003, T1059.007, T1071.001, T1105, T1106, T1204.002, T1218.005, have more...

IOCs:
File: 35
Url: 30
Command: 2
Coin: 1
Hash: 12

Soft:
Instagram, Telegram, Twitter, Ledger Live, Task Scheduler, curl

Wallets:
coinbase, trezor, exodus_wallet, guarda_wallet

Algorithms:
xor, des, zip

Functions:
checkUpdates, subscase, random, context, getArgs, setRequest, eval

Languages:
typescript, powershell, python, javascript, jscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PyStoreRAT - это троян удаленного доступа на основе JavaScript, поставляемый через, казалось бы, безобидные репозитории Python, размещенные на GitHub, которые загружают и запускают вредоносный HTA-файл через mshta.exe . В нем используются многоуровневые методы запутывания и передовые методы уклонения, такие как восстановление конфиденциальной информации во время выполнения с использованием XOR-шифрования и имитация законных процессов. Вредоносное ПО использует запланированные задачи для закрепления, устанавливая двухэтапную связь C2 для выполнения команд, и нацелено на развертывание дополнительного вредоносного ПО, иллюстрируя эволюционирующую тактику киберугроз.
-----

Morphisec обнаружила существование PyStoreRAT, ранее не идентифицированного троянца удаленного доступа на основе JavaScript (RAT), поставляемого через обманчиво безопасные репозитории Python, размещенные на GitHub. Эти репозитории часто маскируются под полезные утилиты разработки или интеллектуальные инструменты с открытым исходным кодом (OSINT) и содержат минимум кода. Этот код отвечает за загрузку вредоносного HTA-файла и его выполнение через HTA-подсистему Windows (mshta.exe ), позволяя злоумышленникам контролировать скомпрометированные системы.

PyStoreRAT структурирован как многоэтапное вредоносное ПО, которое использует доверие, связанное с GitHub, для распространения. Начальный этап включает в себя использование облегченных загрузчиков на Python или JavaScript, которые со временем были дополнены запутыванием и структурными изменениями, чтобы избежать обнаружения при случайной проверке. Наблюдения показывают, что кампания начала набирать обороты примерно в середине 2025 года, причем заметная активность была отмечена первыми регистрациями доменов command and control (C2) в сентябре 2025 года, что впоследствии облегчило бы связь со скомпрометированными компьютерами.

Примечательно, что запутанная полезная нагрузка JScript объединяет несколько уровней методов уклонения. Конфиденциальная информация, такая как URL-адреса C2 и пути к файлам, скрыта в функции, которая восстанавливает эти элементы во время выполнения с использованием XOR-шифрования, эффективно снижая усилия по обнаружению с помощью решений безопасности. Запуск вредоносного ПО начинается с контекстной функции, которая собирает подробную системную телеметрию, регистрируя зараженное устройство в инфраструктуре C2.

В операции PyStoreRAT очевидна фаза усиленной тактики уклонения. Например, если обнаружено присутствие системы безопасности, вредоносное ПО пытается замаскировать свои операции, взламывая дерево процессов и используя `cmd.exe - чтобы породить потомство mshta.exe невидимо. Чтобы поддерживать закрепление в зараженной системе, PyStoreRAT использует запланированные задачи, замаскированные под именем “NVIDIA App SelfUpdate_GUID”, которые запускаются автоматически каждые десять минут или при входе пользователя в систему.

Вредоносное ПО устанавливает двухэтапный обмен данными с сервером C2, где оно отправляет профили жертв для получения уникального токена сеанса и впоследствии обрабатывает командные инструкции на основе JSON с сервера. Примечательной особенностью анализа является специфическая цепочка атак, которая приводит к развертыванию другого варианта вредоносного ПО - Stealer. Rhadamantys. К счастью, эта последняя полезная нагрузка была обнаружена и остановлена мерами безопасности Morphisec, что предотвратило дальнейший компромисс.

Таким образом, PyStoreRAT представляет собой сложную киберугрозу, которая использует надежные платформы для распространения, использует продвинутую тактику уклонения и использует сложные многоэтапные векторы атак, подчеркивая продолжающуюся эволюцию вредоносных акторов в сфере кибербезопасности.

#ParsedReport #CompletenessMedium
15-12-2025

Frogblight threatens you with a court case: a new Android banker targets Turkish users

https://securelist.com/frogblight-banker/118440/

Report completeness: Medium

Threats:
Frogblight
Smishing_technique
Exobot

Victims:
Banking customers, Mobile users

Industry:
Financial, Government

Geo:
Turkish, Turkey

ChatGPT TTPs:
do not use without manual check
T1410, T1416, T1418, T1435, T1444, T1476

IOCs:
Hash: 7
File: 3
Domain: 2
IP: 1
Url: 5

Soft:
Android, Chrome

Functions:
getAllPackages, getPackageUrl, getFileCommands, getContactCommands

Languages:
javascript

Links:
https://opentip.kaspersky.com/https%3a%2f%2fgithub.com%2feraykarakaya0020%2fe-ifade-vercel/?icid=gl\_sl\_opentip-lnk\_sm-team\_887fcbcb699e1e20&utm\_source=SL&utm\_medium=SL&utm\_campaign=SL
https://opentip.kaspersky.com/https%3a%2f%2fgithub.com%2fchromeapk/?icid=gl\_sl\_opentip-lnk\_sm-team\_8ab0fa5de09d8dee&utm\_source=SL&utm\_medium=SL&utm\_campaign=SL
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года появился банковский троян для Android "Frogblight", нацеленный на турецких пользователей путем Маскировки под законные приложения, в том числе для доступа к судебным делам. В основном он распространяется посредством smishing, обманом заставляя пользователей загружать Trojan. Frogblight предоставляет злоумышленникам удаленный доступ, обеспечивает закрепление на устройствах и собирает конфиденциальные финансовые данные с помощью поддельных страниц, имитирующих законные правительственные сайты, что указывает на локализованную угрозу с потенциальными ссылками на опытных разработчиков вредоносного ПО.
-----

В августе 2025 года появился новый банковский троян для Android под названием "Frogblight", специально предназначенный для турецких пользователей. Первоначально вредоносное ПО было Маскировкой под приложение для доступа к файлам судебных дел, связанным с официальным правительственным веб-сайтом, но творчески эволюционировало, чтобы использовать более универсальные маскировки, включая имитации популярных приложений, таких как браузер Chrome. Этот стратегический камуфляж предназначен для того, чтобы повысить шансы на заражение, выглядя законным для ничего не подозревающих пользователей.

Считается, что распространение Frogblight в первую очередь связано с smishing, когда фишингов SMS-сообщения обманом заставляют получателей устанавливать вредоносное ПО под предлогом юридического участия. Сообщения турецких пользователей указывают на то, что они получали вводящие в заблуждение сообщения, в которых им предлагалось загрузить троянские программы-маскировки, особенно те, которые Маскировку под приложения для судебных служб.

После анализа Frogblight продемонстрировал различные возможности, типичные для банковских троянов. Это облегчает удаленный доступ для злоумышленника, обеспечивает закрепление на зараженном устройстве и включает функции, препятствующие попыткам удаления. Эта функциональность позволяет злоумышленникам эффективно сохранять контроль над скомпрометированными устройствами, одновременно собирая конфиденциальную информацию, в частности финансовые данные с турецких банковских сайтов, доступ к которым осуществляется через поддельные страницы, имитирующие законные правительственные веб-порталы.

Последующие обновления frogblight's были введены усовершенствования, расширения его круга возможностей и эффективности. Телеметрия показывает высокую концентрацию инфекции среди потребителей в Турции, предполагая, что операции вредоносное ПО вредоносной программы в значительной степени локализованы. Пока окончательного отнесения к известным злоумышленник остается безрезультатным, связей существуют между репозиториями, связанные с Frogblight и до вредоносное ПО инцидентов в профиль на GitHub, что указывает на потенциальную связь для опытных разработчиков за аналогичные вредоносные проекты.

Таким образом, Frogblight представляет собой развивающуюся угрозу в виде продвинутого банковского трояна для Android, предназначенного для эксплуатации турецких пользователей. Благодаря своим постоянным и адаптивным функциям он направлен на облегчение Кражи денежных средств и потенциально может становиться все более опасным по мере продолжения своего развития. Постоянное наблюдение за его прогрессированием имеет важное значение для понимания и снижения рисков, которые оно представляет.

Приглашаю на свою лекцию 23 декабря на нишевую тему «Разборки в киберпространстве: отчёты о киберугрозах как источник для исследований о международной безопасности».

Отрасль кибербезопасности публикует множество расследований о деятельности хакерских группировок. Эти отчёты предназначены для технических специалистов, но они также могут быть ценным источником информации о том, что происходит в киберпространстве, для тех, кто занимается международными отношениями и другими общественными науками.

Я расскажу о том, откуда берутся эти отчёты, как их читать, что из них можно узнать, как использовать и не использовать в исследованиях по международной безопасности. Попробуем не запутаться с множеством различных классификаций хакерских группировок, разобраться с некоторыми терминами и понятиями типа APT, TTPs, IOCs и выяснить, кто, как и зачем занимается атрибуцией кибератак. Презентую и свой список отчётов о группировках, атакующих российские организации.

Лекция рассчитана прежде всего на исследователей-международников, но также и на всех интересующихся политическими аспектами кибербезопасности.

Встречаемся во вторник 23 декабря в читальном зале Библиотеки №166 в Москве с 18:00 до 20:00.

Участие бесплатное.

Регистрация: https://cyberguerre.timepad.ru/event/3721422/

Адрес: https://yandex.ru/maps/-/CLs9I2oH

#ParsedReport #CompletenessHigh
15-12-2025

SantaStealer is Coming to Town: A New, Ambitious Infostealer Advertised on Underground Forums

https://www.rapid7.com/blog/post/tr-santastealer-is-coming-to-town-a-new-ambitious-infostealer-advertised-on-underground-forums

Report completeness: High

Threats:
Santastealer
Bluelinestealer
Polymorphism_technique
Raccoon_stealer
Credential_stealing_technique
Lumma_stealer
Vidar_stealer
Process_hollowing_technique
Stealc
Redline_stealer

Victims:
Information technology sector

Industry:
Government

Geo:
Russian

TTPs:
Tactics: 3
Technics: 37

IOCs:
Url: 2
File: 2
Hash: 15
IP: 2

Soft:
Telegram, VirtualBox, Discord, Steam, Chrome

Algorithms:
chacha20, zip, sha256

Functions:
named

Win API:
GetKeyboardLayoutList, OpenServiceA

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SantaStealer, готовящееся к выпуску вредоносное ПО для кражи информации, предлагаемое в качестве сервиса на подпольных платформах, в частности Telegram, является развитием BluelineStealer. Обнаруженный Rapid7 Labs, он демонстрирует модульную многопоточную конструкцию и примечателен переходом к модели работы без файлов, которая позволяет выполнять работу полностью в памяти. Несмотря на свой скрытный подход, вредоносное ПО обладает недостаточно развитыми возможностями антианализа, и только определенные компоненты, такие как дешифратор Chromium, обеспечивают ограниченную маскировку.
-----

SantaStealer новая информация-кража вредоносное ПО в настоящее время продаются в качестве службы на подземных каналов, в частности, через телеграммы и хакерских форумах. Он установлен быть выпущен к концу декабря 2025 и недавно изменил название с "BluelineStealer". Самое вредоносное ПО впервые обнаружен Rapid7 лаборатории, когда исполняемый файл Windows оповещений, как правило, связаны с инфекциями из Raccoon Stealer похититель. Конкретный образец Образец SHA-256 хэш, начинающийся с 1a27 и определяется как 64-разрядные библиотеки DLL с более чем 500 экспортированных символов, многие из которых носят описательный его функциональности, в том числе Credential stealing.

Технический анализ SantaStealer показывает, что он имеет модульную и многопоточную конструкцию, соответствующую описаниям разработчика. Изучение различных образцов выявило функциональные возможности, указывающие на переход к модели работы без файлов, при которой коллекции выполняются полностью в памяти, а не полагаются на традиционное файловое хранилище. Это включает в себя использование специальных модулей для облегчения операций и библиотеки DLL Chrome decryptor. Хотя такой подход без использования файлов повышает скрытность, методы антианализа вредоносного ПО кажутся незрелыми, и только некоторые полезные приложения, такие как сторонний Chrome decryptor, обеспечивают скромную скрытность.

#ParsedReport #CompletenessMedium
16-12-2025

Type 1 Backdoor: DRBControl malware executed by Mofu Loader

https://sect.iij.ad.jp/blog/2025/12/mofu-loader-executing-drbcontrol-malware/

Report completeness: Medium

Actors/Campaigns:
Winnti (motivation: cyber_espionage)
Emissary_panda
Axiom

Threats:
Mofu_loader
Drbcontrol
Dll_sideloading_technique
Micdown
Ratels
Shadowpad

Victims:
Government sector

Industry:
Government

Geo:
Columbia, Pakistani, Chinese, Taiwan, Japan

ChatGPT TTPs:
do not use without manual check
T1027.007, T1036.005, T1056.001, T1071.001, T1102.003, T1115, T1547.001, T1547.009, T1574.002

IOCs:
Path: 9
File: 1
Registry: 1
Hash: 2

Soft:
winlogon, chrome, Telnet client, Dropbox, Twitter

Algorithms:
sha256, lznt1, xor

Win API:
CreateRemoteThread, GetProcAddress, LoadLibraryA, VirtualAlloc, RtlDecompressBuffer

Links:
https://github.com/mopisec/research/blob/main/mofuloader\_ror11\_apihash\_resolver.py
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2025 года вредоносное ПО- бэкдор 1-го типа, связанное с хакерской группировкой DRBControl и имеющее подключения к APT41 и APT27, было проанализировано на предмет его расширенных возможностей. Вредоносное ПО использует DLL-файл для выполнения через DLL side-loading и использует Mofu Loader для хэширования API и динамического разрешения адресов. Он обладает уникальными функциональными возможностями, такими как размещение ярлыков в папке автозагрузки для автозапуска и захват сетевых пакетов в неразборчивом режиме для получения информации C2, что указывает на эволюцию в обработке данных и методах атак.
-----

В декабре 2025 года было обнаружено и тщательно изучено новое вредоносное ПО, известное как бэкдор типа 1, которое, как сообщается, используется хакерской группировкой DRBControl. Предполагается, что эта группа связана с другими APT-группировками, такими как APT41 и APT27, на основе параллелей в вредоносном ПО и характеристиках кода. Анализ начался с DLL-файла, идентифицированного как wlbsctrl.dll , который был загружен с Тайваня и выполнен через DLL side-loading, Маскировку под законный файл.

Вредоносное ПО использует загрузчик шелл-кода с именем Mofu Loader, который применяет хэширование API с помощью алгоритма на основе ROR11 для динамического разрешения адресов функций Windows API. Этот продвинутый троян удаленного доступа (RAT) был специально разработан на C++ и предоставляет несколько новых функциональных возможностей по сравнению с ранее наблюдавшимися вредоносными ПО. Примечательно, что он регистрирует параметры автозапуска другим способом, помещая ярлык в папку автозагрузки, а не используя традиционный раздел реестра Run.

Кроме того, бэкдор Type 1 расширяет свои возможности по получению информации о конфигурации извне, используя работу в неразборчивом режиме, что позволяет ему перехватывать сетевые пакеты и извлекать важные сведения, такие как адреса серверов управления (C2). Это контрастирует с предыдущими версиями вредоносного ПО, которые обычно встраивали такую информацию непосредственно в полезную нагрузку в виде открытого текста.

Интересно, что это вредоносное ПО также включает в себя неиспользуемую функциональность, которая пытается получить доступ к данным конфигурации со страницы профиля пользователя на social.msdn.microsoft.com , услуга, которая с тех пор была прекращена. Однако эта функция соответствует возможностям, наблюдавшимся в предыдущих вредоносных ПО APT41 и других вариантах, таких как ShadowPad, что указывает на продолжающуюся эволюцию их тактики.

Экспертизой установлено, что вредоносное ПО функциональные возможности программы реализованы с использованием C++ объектно ориентированное программирование, что позволяет провести анализ классов и наследования информацию о типе на этапе выполнения (RTTI). Изменения в предыдущих итерациях включают варианты, в путь к выходному файлу и схем кодирования для Keylogger и следить за буфером обмена, следствием сдвига в данных способам обработки.

Полученные данные свидетельствуют о том, что DRBControl сохраняет активное присутствие в вредоносной кибердеятельности по крайней мере с 2020 года. Обнаруженный в ходе этого анализа бэкдор типа 1 потенциально может быть использован в предстоящих атаках, что подчеркивает необходимость постоянной бдительности в усилиях по обнаружению и предотвращению. В рамках этой работы были перечислены конкретные хэш-значения, связанные с вредоносным ПО, чтобы помочь в выявлении и смягчении угроз, исходящих от этого инструментария.

#ParsedReport #CompletenessLow
15-12-2025

Amazon Threat Intelligence identifies Russian cyber threat group targeting Western critical infrastructure

https://aws.amazon.com/blogs/security/amazon-threat-intelligence-identifies-russian-cyber-threat-group-targeting-western-critical-infrastructure/

Report completeness: Low

Actors/Campaigns:
Sandworm
Curly_comrades

Threats:
Credential_harvesting_technique
Curlyshell
Curlcat

Victims:
Energy sector, Critical infrastructure operators

Industry:
Energy, Critical_infrastructure, Telco

Geo:
Middle east, Russia, Russian, America

CVEs:
CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence_data_center (<6.13.23, <7.4.11, <7.11.6, <7.12.5)
- atlassian confluence_server (<6.13.23, <7.4.11, <7.11.6, <7.12.5)

CVE-2023-22518 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence_data_center (<7.19.16, <8.3.4, <8.4.4, <8.5.3, 8.6.0)

CVE-2022-26318 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- watchguard fireware (<12.1.3, <12.5.9, <12.7.2)

CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam_backup_\&_replication (<11.0.1.1261, 12.0.0.1420)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1041, T1071, T1078, T1090, T1190, T1557, T1557.002, T1583

IOCs:
File: 5
IP: 1

Soft:
Confluence, Hyper-V, GuardDuty

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка, спонсируемая российским государством, с 2021 года нацелена на критическую инфраструктуру Запада, особенно в энергетическом секторе. В первую очередь они используют неправильно сконфигурированные периферийные устройства клиентской сети для первоначального доступа, облегчая сбор учетных записей и перемещение внутри компании, сводя к минимуму риск. Атаки включают перехват трафика аутентификации пользователей, а не активную кражу учетных данных, с постоянным извлечением данных из скомпрометированных экземпляров AWS EC2, что указывает на сложный уровень доступа и постоянные соединения.
-----

Amazon Threat Intelligence выявила спонсируемую российским государством хакерскую группировку, которая с 2021 года активно атакует критическую инфраструктуру Запада, уделяя особое внимание энергетическому сектору. Эта кампания демонстрирует значительный сдвиг в тактике, когда использование неправильно сконфигурированных периферийных устройств клиентской сети стало основным направлением для первоначального доступа, отодвигая на второй план традиционные методы использования уязвимостей. Это изменение не только позволяет осуществлять сбор учетных записей, но и облегчает перемещение внутри компании в онлайн-сервисах и инфраструктурах организаций-жертв, сводя к минимуму воздействие злоумышленника и использование ресурсов.

Операции по сбору учетных записей, связанные с этой кампанией, характеризуются пассивными методами сбора. Анализ указывает на промежуток времени между первоначальной компрометацией устройств и последующими попытками аутентификации в службах-жертвах, что позволяет предположить, что акторы перехватывают трафик аутентификации пользователей, а не активно крадут учетные данные. Злоумышленник обычно использует учетные данные организации-жертвы для получения доступа к онлайн-сервисам, а не использует учетные данные конкретного устройства, что усиливает представление о перехвате сетевого трафика как ключевом аспекте их работы.

Более того, анализ Amazon показал, что злоумышленник нацелен на периферийные устройства клиентской сети, размещенные на AWS, что было вызвано неправильной настройкой клиентов, а не уязвимостями в самой AWS. Расследование показало, что IP-адреса, контролируемые актором, устанавливали постоянные соединения со скомпрометированными экземплярами EC2, что указывает на уровень интерактивного доступа и постоянный поиск данных по нескольким затронутым экземплярам.

Также отмечается совпадение инфраструктуры этой российской группировки с инфраструктурой другой выявленной хакерской группировки, известной как "Curly COMrades". Это совпадение может свидетельствовать о взаимодополняющих операциях в рамках более широкой кампании, организованной Главным разведывательным управлением Генерального штаба России (ГРУ). В ответ на эти действия Amazon инициировала меры по значительному нарушению этих операций и стремится к постоянному сотрудничеству в рамках сообщества безопасности для снижения рисков, связанных с спонсируемыми государством угрозами критически важной инфраструктуре.

В качестве превентивной меры на 2026 год организациям энергетического сектора и лицам, ответственным за критически важную инфраструктуру, рекомендуется просмотреть свои журналы доступа на предмет попыток аутентификации, связанных с выявленными индикаторами компрометации (IOCS), связанными с этой кампанией.