#ParsedReport #CompletenessLow
18-12-2025

CVE-2025-20393: Cisco AsyncOS Zero-Day Impacts Secure Email Appliances

https://socradar.io/blog/cve-2025-20393-cisco-asyncos-zero-day-email/

Report completeness: Low

Actors/Campaigns:
Uat-9686
Winnti
Unc5174

Threats:
Aquashell
Aquatunnel_tool
Chisel_tool
Aquapurge_tool
Reversessh_tool

Industry:
Government

Geo:
China, Chinese

CVEs:
CVE-2025-20393 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.004, T1190, T1505.003, T1543

IOCs:
Hash: 3
IP: 3

Languages:
python

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2025/12

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cisco выявила критическую уязвимость zero-day, CVE-2025-20393, в своих устройствах Secure Email Gateway и Secure Email и Web Manager, использующих AsyncOS, с оценкой CVSS 10,0. Для ее использования требуется, чтобы функция карантина нежелательной почты была включена и доступна через Интернет, что позволяет злоумышленникам выполнять команды с правами root. привилегии. Атаки приписываются актору сложных целенаправленных угроз UAT-9686 из Китая, использующему бэкдор под названием AquaShell для постоянной эксплуатации и контроля над скомпрометированными системами.
-----

Cisco объявила об обнаружении критической уязвимости zero-day, отслеживаемой как CVE-2025-20393, влияющей на ее защищенный почтовый шлюз и устройства защищенной электронной почты и веб-менеджера, работающие под управлением операционной системы AsyncOS. Эта уязвимость имеет оценку CVSS 10,0, что указывает на ее серьезный характер и потенциал для активного использования злоумышленниками. Недостаток связан с неправильной проверкой вводимых данных, которая позволяет злоумышленникам выполнять произвольные команды с привилегиями корневого уровня в скомпрометированных системах.

В частности, уязвимость нацелена на ограниченное количество устройств защиты электронной почты Cisco, которые имеют незащищенные порты. В частности, для использования должна быть включена функция карантина нежелательной почты, а ее интерфейс должен быть доступен из Интернета.

Атаки, связанные с этой уязвимостью, приписываются актору сложной целенаправленной угрозы из Китая, обозначенному как UAT-9686, что указывает на сложную и организованную угрозу. Эта кампания была признана активной по крайней мере с конца ноября 2025 года. Вредоносная активность была выявлена в ходе расследования дела службой поддержки Cisco в начале декабря 2025 года.

Чтобы поддерживать закрепление в скомпрометированных системах, злоумышленники использовали бэкдор, известный как AquaShell, который представляет собой инструмент на основе Python, интегрированный в существующие файлы веб-приложений. AquaShell отвечает на специально созданные, не прошедшие проверку подлинности HTTP POST-запросы, позволяя злоумышленникам декодировать входящие данные и выполнять команды непосредственно в системной оболочке, тем самым увеличивая потенциал для дальнейшего использования и нанесения ущерба.

В ответ на продолжающуюся эксплуатацию CVE-2025-20393 Агентство по кибербезопасности и инфраструктурной безопасности (CISA) включило эту уязвимость в свой каталог известных эксплуатируемых уязвимостей, подчеркнув ее актуальность и необходимость для организаций оперативно устранять ее. Организациям рекомендуется проверить, включена ли функция карантина нежелательной почты и является ли она общедоступной. Непосредственные рекомендации для защитников включают устранение прямого доступа к интерфейсам управления и карантина нежелательной почты через Интернет, размещение устройств за брандмауэрами, которые ограничивают доступ только к доверенным хостам, и обеспечение того, чтобы функции обработки почты были отделены от интерфейсов управления для снижения потенциальных рисков.

#ParsedReport #CompletenessHigh
17-12-2025

GachiLoader: Defeating Node.js Malware with API Tracing

https://research.checkpoint.com/2025/gachiloader-node-js-malware-with-api-tracing/

Report completeness: High

Threats:
Gachiloader
Kidkadi
Pe_injection_technique
Rhadamanthys
Vmprotect_tool
Themida_tool

Victims:
Consumers

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1055, T1055.002, T1057, T1059.001, T1071.001, T1106, T1112, have more...

IOCs:
Command: 1
File: 70
Hash: 304
Domain: 8
Url: 11
IP: 6

Soft:
Node.js, Windows Defender, whatsapp, twitter, KeePass, Windows Media Player, hyper-v, virtualbox, qemu

Wallets:
harmony_wallet

Algorithms:
base64

Functions:
Get-WmiObject

Win API:
LoadLibrary, NtMapViewOfSection, NtOpenSection, NtClose

Languages:
javascript, powershell

Links:
have more...
https://github.com/CheckPointSW/Nodejs-Tracer

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GachiLoader - это сильно запутанный Node.js Вредоносное ПО, связанное с сетью YouTube Ghost, функционирует как загрузчик для дополнительной полезной нагрузки, используя передовые методы антианализа. Он использует nexe packer для компиляции в большие исполняемые файлы и использует такие методы, как повышение привилегий с помощью PowerShell и моделирование сред, отличных от "песочницы", чтобы избежать обнаружения. Были идентифицированы два варианта, в одном из которых используется вредоносное ПО Kidkadi, использующее уникальные методы Внедрения PE-образа, которые усложняют анализ.
-----

GachiLoader - это сильно запутанный Node.js Вредоносное ПО идентифицировано как часть YouTube Ghost Network, киберугрозы, которая использует скомпрометированные учетные записи для распространения вредоносного контента. Этот конкретный вариант вредоносного ПО не только служит загрузчиком для дополнительной полезной нагрузки, но и использует сложные методы антианализа, которые усложняют его проверку. Он построен с использованием nexe packer, который компилирует Node.js приложения в автономные исполняемые файлы, создавая файлы размером от 60 до 90 МБ. Хотя жертвы, ожидающие легального программного обеспечения, могут воспринимать эти размеры как не вызывающие подозрений, они создают проблемы для анализа из-за запутывания.

GachiLoader использует различные стратегии защиты от виртуальных машин и антианализа, чтобы избежать обнаружения. Например, он проверяет, работает ли он в среде, отличной от изолированной среды, выполняя команду "сетевой сеанс"; если он определяет, что он работает в ограниченном контексте, он повышает привилегии с помощью PowerShell. Чтобы еще больше избежать обнаружения, вредоносное ПО пытается завершить процесс работы защитника Windows (SecHealthUI.exe ) и создайте исключения в настройках Defender, которые позволят его действиям оставаться незамеченными.

Были рассмотрены два основных варианта GachiLoader. Первый вариант извлекает полезную нагрузку второго этапа путем отправки системной информации, включая сведения об антивирусе и версию операционной системы, на свой сервер C2 (Command and Control), используя несколько адресов для избыточности. Напротив, второй вариант содержит встроенное вредоносное ПО Kidkadi, которое не связывается с сервером C2 и вместо этого выполняет свою полезную нагрузку непосредственно из временного каталога под именем kidkadi.node.

Одной из замечательных характеристик Kidkadi является его новый метод внедрения переносимых исполняемых файлов (PE). Он использует векторизованную обработку исключений для манипулирования памятью: законная библиотека DLL (wmp.dll ) изменяется динамически, чтобы заменить его вредоносным содержимым полезной нагрузки, позволяя вредоносному ПО сопоставлять и выполнять его в пространстве процесса. Этот процесс еще больше усложняет усилия по анализу и смягчению последствий вредоносного ПО.

Чтобы помочь исследователям в анализе GachiLoader, Check Point Research создала программу с открытым исходным кодом Node.js tracer, который упрощает процесс деобфускации и позволяет аналитикам эффективно подключаться к вызовам Node-API. Этот трассировщик обходит функции антианализа вредоносного ПО, сохраняя доказательства вредоносной активности до того, как вредоносное ПО сможет их удалить. Растущая распространенность запутанных Node.js наличие вредоносного ПО обусловливает необходимость разработки таких инструментов для повышения эффективности анализа киберугроз и реагирования на них.

#ParsedReport #CompletenessMedium
18-12-2025

Access granted: phishing with device code authorization for account takeover

https://www.proofpoint.com/us/blog/threat-insight/access-granted-phishing-device-code-authorization-account-takeover

Report completeness: Medium

Actors/Campaigns:
Ta2723 (motivation: financially_motivated, cyber_criminal)
Unk_academicflare

Threats:
Clickfix_technique
Device_code_phishing_technique
Squarephish_tool
Graphish_tool
Aitm_technique

Victims:
Government, Military, Think tank, Higher education, Transportation

Industry:
Military, Transport, Education, Government, Energy

Geo:
Russia, Ukraine, China

ChatGPT TTPs:
do not use without manual check
T1056.003, T1078, T1114, T1133, T1204, T1528, T1530, T1556.006, T1566, T1583.006, have more...

IOCs:
Domain: 1
Url: 19
Email: 2
IP: 1

Soft:
Microsoft OneDrive

Links:
https://github.com/secureworks/SquarePhish
https://github.com/secureworks/squarephish
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники, в том числе связанные с государством и финансово мотивированные группы, используют авторизацию с использованием кода устройства OAuth для компрометации учетных записей Microsoft 365 с помощью тактики социальной инженерии и фишинга. Такие инструменты, как SquarePhish2 и набор для фишинга Graphish, используют QR-коды и настройки обратного прокси-сервера, чтобы направлять пользователей на поддельные страницы входа в систему при перехвате учетных данных. Кампании злоумышленника TA2723, наряду с подозрительными действиями российских и китайских акторов, иллюстрируют растущую тенденцию использования законных методов аутентификации в злонамеренных целях, в частности, с помощью device code phishing.
-----

Злоумышленники используют авторизацию с использованием кода устройства OAuth для компрометации учетных записей Microsoft 365, что приводит к захвату учетных записей и эксфильтрации данных.

Тактика социальной инженерии используется для того, чтобы обманом заставить пользователей предоставить доступ к вредоносным приложениям с помощью схем фишинга, нацеленных на процесс авторизации устройств OAuth 2.0.

SquarePhish2 - это инструмент фишинга, нацеленный на поток авторизации OAuth-устройств с использованием QR-кодов, перенаправляющий пользователей на законные страницы входа в систему Microsoft, в то время как злоумышленники подключаются к потоку OAuth.

Этот метод позволяет настроить многофакторную аутентификацию с использованием одноразового пароля на основе времени (TOTP), повышая ее эффективность.

Набор для фишинга Graphish, используемый в сложных атаках фишинга, использует регистрацию приложений Azure и настройки обратного прокси-сервера для облегчения атак Злоумышленника посередине (AiTM).

В сценариях AiTM пользователи направляются на поддельные страницы входа в систему, при этом трафик передается через обратный прокси-сервер для перехвата учетных данных пользователя и данных сеанса.

Известные кампании включают в себя одну, в которой используется фишинг-рассылка по электронной почте, замаскированная под документ о "Премии к зарплате + отчеты о пособиях работодателя 25"..

С конца 2025 года злоумышленник TA2723 проводит масштабные кампании по фишингу учетных данных, имитируя такие сервисы, как OneDrive и LinkedIn, с акцентом на фишинг устройств OAuth.

Российские злоумышленники, связанные с государством, все чаще используют методы фишинга без использования паролей, в то время как неустановленные китайские акторы продемонстрировали шпионскую деятельность с использованием device code phishing.

Группа, идентифицированная как UNK_AcademicFlare, нацелена на правительственные и военные организации с помощью скомпрометированных Адресов эл. почты в рамках своей кампании по фишингу.

Рекомендации по смягчению этих угроз включают внедрение Политик условного доступа для зарегистрированных устройств и развитие обучения пользователей для устранения рисков, характерных для device code phishing.

#ParsedReport #CompletenessLow
17-12-2025

UAT-9686 actively targets Cisco Secure Email Gateway and Secure Email and Web Manager

https://blog.talosintelligence.com/uat-9686/

Report completeness: Low

Actors/Campaigns:
Uat-9686
Winnti
Unc5174

Threats:
Aquashell
Aquatunnel_tool
Chisel_tool
Aquapurge_tool
Reversessh_tool

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059, T1070.004, T1071.001, T1090, T1090.001, T1190, T1505.003, T1572, have more...

IOCs:
Hash: 3
IP: 3

Algorithms:
base64

Languages:
python, golang

Links:
have more...
https://github.com/Cisco-Talos/IOCs/tree/main/2025/12
https://github.com/Fahrj/reverse-ssh

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cisco Talos выявила кампанию APT-группировки UAT-9686, связанную с китайскими кибероперациями, направленную против программного обеспечения Cisco AsyncOS для защиты электронной почты. Они используют пользовательский бэкдор под названием "AquaShell" для удаленного выполнения команд и такие инструменты, как "AquaPurge", для очистки журналов, сводя к минимуму обнаружение. Кроме того, они используют AquaTunnel для обратных SSH-соединений и Chisel для туннелирования TCP/UDP, что позволяет им использовать уязвимости и поддерживать скрытый доступ к скомпрометированным системам.
-----

Недавнее исследование, проведенное Cisco Talos, раскрыло кампанию, организованную UAT-9686, актором по борьбе с сложными целенаправленными угрозами (APT), связанным с китайскими кибероперациями, нацеленную на программное обеспечение Cisco AsyncOS для защищенного почтового шлюза и защищенного менеджера электронной почты и веб-сайтов. Эта враждебная группа использует технические конструкции, которые указывают на знакомство с методами проникновения, связанными с предыдущими китайскими злоумышленниками. Их внимание было сосредоточено в первую очередь на устройствах, сконфигурированных нестандартным образом, которые, по-видимому, были отправной точкой для этих атак.

Ключевым компонентом стратегии атаки UAT-9686 является пользовательский бэкдор, известный как "AquaShell", разработанный специально для встраивания в существующие файлы на веб-серверах на базе Python. Этот легкий бэкдор прослушивает несанкционированные HTTP POST-запросы, которые содержат специально отформатированные команды. При обнаружении таких запросов AquaShell декодирует команды и выполняет их в системной оболочке, тем самым облегчая удаленное выполнение команд.

Кроме того, UAT-9686 использует инструмент под названием AquaPurge, который улучшает их тайные операции за счет очистки журналов. Эта утилита нацелена на определенные ключевые слова, эффективно удаляя связанные записи из файлов журнала. Он использует команду "egrep" для фильтрации строк, которые не содержат определенных ключевых слов, тем самым скрывая действия злоумышленника и сводя к минимуму риск обнаружения.

Более того, AquaTunnel, еще одна утилита в их наборе инструментов, служит для установления обратного SSH-соединения с использованием скомпилированного двоичного файла GoLang ELF, основанного на Backdoor. с открытым исходным кодом "ReverseSSH Эта функциональность позволяет злоумышленнику обходить ограничения брандмауэра и поддерживать несанкционированный доступ к скомпрометированным системам, подключаясь обратно к своему контролируемому серверу.

UAT-9686 также использует Chisel, инструмент туннелирования с открытым исходным кодом, который поддерживает туннелирование TCP и UDP через однопортовое HTTP-соединение. Это позволяет им проксировать трафик через скомпрометированные устройства, обеспечивая метод перемещения внутри компании в нацеленных внутренних средах.

Подводя итог, можно сказать, что технические компоненты, используемые UAT-9686, отражают согласованные усилия по использованию уязвимостей в решениях Cisco для защищенной электронной почты, облегчая удаленный доступ и повышая их оперативную скрытность.

З.ы. Пара "приватных" докладов шла без записи.

Всем привет!

29 ноября состоялся CTI meetup №4, который организовали Инсека и Технологии киберугроз.

CTI meetup в цифрах:
- собрали 100+ специалистов по поиску киберугроз из более чем 40 организаций
- с докладами выступили 7 экспертов отрасли
- 3 часа на свободное общение и обмен опытом

🎥 Презентации и запись выступлений CTI meetup №4 можно посмотреть на странице митапа.
Напоминаем, что в этот раз два доклада было без записи 🎬.

📸 Фотоотчет с митапа здесь.

Спасибо всем, кто был с нами на митапе.


Когда будет следующая встреча? - по мере формирования программы митапа. Присылайте информацию о себе и свою тему доклада на @insecatech, мы с вами обязательно свяжемся!

#ParsedReport #CompletenessLow
18-12-2025

Actively Exploited Authentication Bypass Vulnerabilities in FortiGate SSO

https://www.truesec.com/hub/blog/actively-exploited-authentication-bypass-vulnerabilities-in-fortigate-sso

Report completeness: Low

Victims:
Fortinet device administrators, Network infrastructure

CVEs:
CVE-2025-59719 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (le7.4.9, le7.6.4, 8.0.0)

CVE-2025-59718 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.22, <7.2.15, <7.4.11, <7.6.4)
- fortinet fortiswitchmanager (<7.0.6, <7.2.7)
- fortinet fortios (<7.0.18, <7.2.12, <7.4.9, <7.6.4)


ChatGPT TTPs:
do not use without manual check
T1078, T1190

IOCs:
IP: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Было выявлено активное использование уязвимостей обхода аутентификации в системе единого входа FortiGate (SSO), при этом злоумышленники нацеливались на административные учетные записи для несанкционированного доступа. Эти атаки подчеркивают риски, связанные с устройствами FortiNet, и указывают на то, что число попыток вредоносного входа в систему растет, что требует тщательного анализа организационных мер безопасности. Для устранения этих уязвимостей необходимы немедленные действия, поскольку злоумышленники продолжают искать компромиссы в уязвимых устройствах.
-----

Недавний анализ выявил активно используемые уязвимости обхода аутентификации в системе единого входа FortiGate (SSO), которые представляют значительный риск для организаций, использующих устройства FortiNet. Были замечены злоумышленники, выполняющие вредоносные попытки входа в систему, в первую очередь нацеленные на учетные записи администраторов. Характер этих попыток несанкционированного доступа указывает на настоятельную необходимость того, чтобы организации активно оценивали состояние своей безопасности.

Для снижения рисков, связанных с этими уязвимостями, организациям крайне важно принять незамедлительные меры. Сброс учетных данных брандмауэра является необходимым шагом при обнаружении любых подозрительных входов в систему. Кроме того, следует начать всестороннее расследование, чтобы определить степень любых потенциальных компромиссов. Организациям рекомендуется повысить свою безопасность, ограничив доступ к интерфейсам управления устройствами FortiNet только доверенными IP-адресами, тем самым уменьшив вероятность атаки.

Кроме того, настоятельно рекомендуется, чтобы организации обновились до последней исправленной версии прошивки FortiGate. Это обновление необходимо для исправления уязвимостей и предотвращения их дальнейшего использования злоумышленниками. Продолжающееся использование этих слабых мест позволяет предположить, что злоумышленники активно стремятся скомпрометировать устройства, делая своевременные обновления и меры безопасности критически важными для обеспечения целостности сетевой защиты.

#ParsedReport #CompletenessLow
18-12-2025

Hunting for Live Phishing Infrastructure Based on Cybercrime Intelligence

https://flare.io/learn/resources/blog/hunting-for-live-phishing-infrastructure/

Report completeness: Low

Threats:
Bitm_technique
Aitm_technique
Tycoon_2fa
Evilproxy_tool
Credential_harvesting_technique

Victims:
Gmail users, Facebook users

Geo:
Taiwanese, Hungarian, Italian, French, Russian, Korean, Portuguese, Spanish, German, Polish

ChatGPT TTPs:
do not use without manual check
T1020, T1036, T1056.003, T1102, T1110, T1111, T1550.004, T1557.002, T1566.002, T1583.003, have more...

IOCs:
File: 3
IP: 241

Soft:
Gmail, Office365, Outlooks, Node.js, Chrome, kubelet

Languages:
javascript, typescript

Links:
https://gist.github.com/flareio-research/cf10531327c8070a85a75c859e4c0c66

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, schema: 3, code: 1, chats: 1