#ParsedReport #CompletenessMedium
18-12-2025

Access granted: phishing with device code authorization for account takeover

https://www.proofpoint.com/us/blog/threat-insight/access-granted-phishing-device-code-authorization-account-takeover

Report completeness: Medium

Actors/Campaigns:
Ta2723 (motivation: financially_motivated, cyber_criminal)
Unk_academicflare

Threats:
Clickfix_technique
Device_code_phishing_technique
Squarephish_tool
Graphish_tool
Aitm_technique

Victims:
Government, Military, Think tank, Higher education, Transportation

Industry:
Military, Transport, Education, Government, Energy

Geo:
Russia, Ukraine, China

ChatGPT TTPs:
do not use without manual check
T1056.003, T1078, T1114, T1133, T1204, T1528, T1530, T1556.006, T1566, T1583.006, have more...

IOCs:
Domain: 1
Url: 19
Email: 2
IP: 1

Soft:
Microsoft OneDrive

Links:
https://github.com/secureworks/SquarePhish
https://github.com/secureworks/squarephish
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники, в том числе связанные с государством и финансово мотивированные группы, используют авторизацию с использованием кода устройства OAuth для компрометации учетных записей Microsoft 365 с помощью тактики социальной инженерии и фишинга. Такие инструменты, как SquarePhish2 и набор для фишинга Graphish, используют QR-коды и настройки обратного прокси-сервера, чтобы направлять пользователей на поддельные страницы входа в систему при перехвате учетных данных. Кампании злоумышленника TA2723, наряду с подозрительными действиями российских и китайских акторов, иллюстрируют растущую тенденцию использования законных методов аутентификации в злонамеренных целях, в частности, с помощью device code phishing.
-----

Злоумышленники используют авторизацию с использованием кода устройства OAuth для компрометации учетных записей Microsoft 365, что приводит к захвату учетных записей и эксфильтрации данных.

Тактика социальной инженерии используется для того, чтобы обманом заставить пользователей предоставить доступ к вредоносным приложениям с помощью схем фишинга, нацеленных на процесс авторизации устройств OAuth 2.0.

SquarePhish2 - это инструмент фишинга, нацеленный на поток авторизации OAuth-устройств с использованием QR-кодов, перенаправляющий пользователей на законные страницы входа в систему Microsoft, в то время как злоумышленники подключаются к потоку OAuth.

Этот метод позволяет настроить многофакторную аутентификацию с использованием одноразового пароля на основе времени (TOTP), повышая ее эффективность.

Набор для фишинга Graphish, используемый в сложных атаках фишинга, использует регистрацию приложений Azure и настройки обратного прокси-сервера для облегчения атак Злоумышленника посередине (AiTM).

В сценариях AiTM пользователи направляются на поддельные страницы входа в систему, при этом трафик передается через обратный прокси-сервер для перехвата учетных данных пользователя и данных сеанса.

Известные кампании включают в себя одну, в которой используется фишинг-рассылка по электронной почте, замаскированная под документ о "Премии к зарплате + отчеты о пособиях работодателя 25"..

С конца 2025 года злоумышленник TA2723 проводит масштабные кампании по фишингу учетных данных, имитируя такие сервисы, как OneDrive и LinkedIn, с акцентом на фишинг устройств OAuth.

Российские злоумышленники, связанные с государством, все чаще используют методы фишинга без использования паролей, в то время как неустановленные китайские акторы продемонстрировали шпионскую деятельность с использованием device code phishing.

Группа, идентифицированная как UNK_AcademicFlare, нацелена на правительственные и военные организации с помощью скомпрометированных Адресов эл. почты в рамках своей кампании по фишингу.

Рекомендации по смягчению этих угроз включают внедрение Политик условного доступа для зарегистрированных устройств и развитие обучения пользователей для устранения рисков, характерных для device code phishing.

#ParsedReport #CompletenessLow
17-12-2025

UAT-9686 actively targets Cisco Secure Email Gateway and Secure Email and Web Manager

https://blog.talosintelligence.com/uat-9686/

Report completeness: Low

Actors/Campaigns:
Uat-9686
Winnti
Unc5174

Threats:
Aquashell
Aquatunnel_tool
Chisel_tool
Aquapurge_tool
Reversessh_tool

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059, T1070.004, T1071.001, T1090, T1090.001, T1190, T1505.003, T1572, have more...

IOCs:
Hash: 3
IP: 3

Algorithms:
base64

Languages:
python, golang

Links:
have more...
https://github.com/Cisco-Talos/IOCs/tree/main/2025/12
https://github.com/Fahrj/reverse-ssh

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cisco Talos выявила кампанию APT-группировки UAT-9686, связанную с китайскими кибероперациями, направленную против программного обеспечения Cisco AsyncOS для защиты электронной почты. Они используют пользовательский бэкдор под названием "AquaShell" для удаленного выполнения команд и такие инструменты, как "AquaPurge", для очистки журналов, сводя к минимуму обнаружение. Кроме того, они используют AquaTunnel для обратных SSH-соединений и Chisel для туннелирования TCP/UDP, что позволяет им использовать уязвимости и поддерживать скрытый доступ к скомпрометированным системам.
-----

Недавнее исследование, проведенное Cisco Talos, раскрыло кампанию, организованную UAT-9686, актором по борьбе с сложными целенаправленными угрозами (APT), связанным с китайскими кибероперациями, нацеленную на программное обеспечение Cisco AsyncOS для защищенного почтового шлюза и защищенного менеджера электронной почты и веб-сайтов. Эта враждебная группа использует технические конструкции, которые указывают на знакомство с методами проникновения, связанными с предыдущими китайскими злоумышленниками. Их внимание было сосредоточено в первую очередь на устройствах, сконфигурированных нестандартным образом, которые, по-видимому, были отправной точкой для этих атак.

Ключевым компонентом стратегии атаки UAT-9686 является пользовательский бэкдор, известный как "AquaShell", разработанный специально для встраивания в существующие файлы на веб-серверах на базе Python. Этот легкий бэкдор прослушивает несанкционированные HTTP POST-запросы, которые содержат специально отформатированные команды. При обнаружении таких запросов AquaShell декодирует команды и выполняет их в системной оболочке, тем самым облегчая удаленное выполнение команд.

Кроме того, UAT-9686 использует инструмент под названием AquaPurge, который улучшает их тайные операции за счет очистки журналов. Эта утилита нацелена на определенные ключевые слова, эффективно удаляя связанные записи из файлов журнала. Он использует команду "egrep" для фильтрации строк, которые не содержат определенных ключевых слов, тем самым скрывая действия злоумышленника и сводя к минимуму риск обнаружения.

Более того, AquaTunnel, еще одна утилита в их наборе инструментов, служит для установления обратного SSH-соединения с использованием скомпилированного двоичного файла GoLang ELF, основанного на Backdoor. с открытым исходным кодом "ReverseSSH Эта функциональность позволяет злоумышленнику обходить ограничения брандмауэра и поддерживать несанкционированный доступ к скомпрометированным системам, подключаясь обратно к своему контролируемому серверу.

UAT-9686 также использует Chisel, инструмент туннелирования с открытым исходным кодом, который поддерживает туннелирование TCP и UDP через однопортовое HTTP-соединение. Это позволяет им проксировать трафик через скомпрометированные устройства, обеспечивая метод перемещения внутри компании в нацеленных внутренних средах.

Подводя итог, можно сказать, что технические компоненты, используемые UAT-9686, отражают согласованные усилия по использованию уязвимостей в решениях Cisco для защищенной электронной почты, облегчая удаленный доступ и повышая их оперативную скрытность.

З.ы. Пара "приватных" докладов шла без записи.

Всем привет!

29 ноября состоялся CTI meetup №4, который организовали Инсека и Технологии киберугроз.

CTI meetup в цифрах:
- собрали 100+ специалистов по поиску киберугроз из более чем 40 организаций
- с докладами выступили 7 экспертов отрасли
- 3 часа на свободное общение и обмен опытом

🎥 Презентации и запись выступлений CTI meetup №4 можно посмотреть на странице митапа.
Напоминаем, что в этот раз два доклада было без записи 🎬.

📸 Фотоотчет с митапа здесь.

Спасибо всем, кто был с нами на митапе.


Когда будет следующая встреча? - по мере формирования программы митапа. Присылайте информацию о себе и свою тему доклада на @insecatech, мы с вами обязательно свяжемся!

#ParsedReport #CompletenessLow
18-12-2025

Actively Exploited Authentication Bypass Vulnerabilities in FortiGate SSO

https://www.truesec.com/hub/blog/actively-exploited-authentication-bypass-vulnerabilities-in-fortigate-sso

Report completeness: Low

Victims:
Fortinet device administrators, Network infrastructure

CVEs:
CVE-2025-59719 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (le7.4.9, le7.6.4, 8.0.0)

CVE-2025-59718 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.22, <7.2.15, <7.4.11, <7.6.4)
- fortinet fortiswitchmanager (<7.0.6, <7.2.7)
- fortinet fortios (<7.0.18, <7.2.12, <7.4.9, <7.6.4)


ChatGPT TTPs:
do not use without manual check
T1078, T1190

IOCs:
IP: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Было выявлено активное использование уязвимостей обхода аутентификации в системе единого входа FortiGate (SSO), при этом злоумышленники нацеливались на административные учетные записи для несанкционированного доступа. Эти атаки подчеркивают риски, связанные с устройствами FortiNet, и указывают на то, что число попыток вредоносного входа в систему растет, что требует тщательного анализа организационных мер безопасности. Для устранения этих уязвимостей необходимы немедленные действия, поскольку злоумышленники продолжают искать компромиссы в уязвимых устройствах.
-----

Недавний анализ выявил активно используемые уязвимости обхода аутентификации в системе единого входа FortiGate (SSO), которые представляют значительный риск для организаций, использующих устройства FortiNet. Были замечены злоумышленники, выполняющие вредоносные попытки входа в систему, в первую очередь нацеленные на учетные записи администраторов. Характер этих попыток несанкционированного доступа указывает на настоятельную необходимость того, чтобы организации активно оценивали состояние своей безопасности.

Для снижения рисков, связанных с этими уязвимостями, организациям крайне важно принять незамедлительные меры. Сброс учетных данных брандмауэра является необходимым шагом при обнаружении любых подозрительных входов в систему. Кроме того, следует начать всестороннее расследование, чтобы определить степень любых потенциальных компромиссов. Организациям рекомендуется повысить свою безопасность, ограничив доступ к интерфейсам управления устройствами FortiNet только доверенными IP-адресами, тем самым уменьшив вероятность атаки.

Кроме того, настоятельно рекомендуется, чтобы организации обновились до последней исправленной версии прошивки FortiGate. Это обновление необходимо для исправления уязвимостей и предотвращения их дальнейшего использования злоумышленниками. Продолжающееся использование этих слабых мест позволяет предположить, что злоумышленники активно стремятся скомпрометировать устройства, делая своевременные обновления и меры безопасности критически важными для обеспечения целостности сетевой защиты.

#ParsedReport #CompletenessLow
18-12-2025

Hunting for Live Phishing Infrastructure Based on Cybercrime Intelligence

https://flare.io/learn/resources/blog/hunting-for-live-phishing-infrastructure/

Report completeness: Low

Threats:
Bitm_technique
Aitm_technique
Tycoon_2fa
Evilproxy_tool
Credential_harvesting_technique

Victims:
Gmail users, Facebook users

Geo:
Taiwanese, Hungarian, Italian, French, Russian, Korean, Portuguese, Spanish, German, Polish

ChatGPT TTPs:
do not use without manual check
T1020, T1036, T1056.003, T1102, T1110, T1111, T1550.004, T1557.002, T1566.002, T1583.003, have more...

IOCs:
File: 3
IP: 241

Soft:
Gmail, Office365, Outlooks, Node.js, Chrome, kubelet

Languages:
javascript, typescript

Links:
https://gist.github.com/flareio-research/cf10531327c8070a85a75c859e4c0c66

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, schema: 3, code: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Современные атаки фишинга становятся все более изощренными, используя такие методы, как Browser-in-the-Browser (BitB) и Злоумышленник посередине (AiTM), для обхода Многофакторной аутентификации и перехвата веб-сеансов. Злоумышленники используют облачные инфраструктуры с быстрой масштабируемостью для развертывания фишинга как услуги (PhaaS), что делает продвинутые атаки AiTM доступными для нетехнических специалистов. Недавние результаты форумов по киберпреступности указывают на то, что экосистема, управляемая маркетингом, сосредоточена на операционной эффективности, с особым акцентом на таргетинг таких сервисов, как Gmail и Facebook, с помощью передовых методов проверки учетных данных.
-----

Современные методы фишинга выходят за рамки традиционных методов, создавая значительные риски для онлайн-безопасности. Современные наборы для фишинга используют передовые методы, такие как Browser-in-the-Browser (BitB) и Злоумышленник посередине (AiTM), в частности, для обхода Многофакторной аутентификации (MFA) и перехвата активных веб-сессий. Используя эти методы, злоумышленники могут использовать кражу файлов cookie сеанса в режиме реального времени, передавать вызовы MFA и манипулировать потоками единого входа (SSO) или OAuth, делая возможным захват учетных записей даже при наличии надежных механизмов аутентификации.

Изощренность операций фишинга также проявляется в их стратегиях развертывания инфраструктуры. Многие злоумышленники переходят к облачным средам, поддерживаемым современными технологиями, такими как Kubernetes. Это обеспечивает быструю масштабируемость и устойчивость инфраструктуры, позволяя быстро создавать многочисленные конечные точки фишинга и управлять ими, сводя к минимуму время простоя из-за действий правоохранительных органов по устранению неполадок. Операционные возможности этих предложений "фишинг как услуга" (PhaaS) значительно снижают планку для входа, позволяя нетехническим акторам с легкостью выполнять сложные AiTM-атаки.

В ходе недавнего расследования исследователи изучили русскоязычные форумы по киберпреступности, обнаружив рекламу возможностей фишинга, в которой подчеркивалась оперативная эффективность, а не конкретные названия инструментов. Это указывает на переход к экосистеме, управляемой маркетингом, где вредоносное ПО и инструменты часто нейтрализуются и маркируются на основе их результатов, таких как успешный обход MFA или проверка сеанса в реальном времени, а не их технической основы.

Анализ привел к важным оперативным выводам, включая выявление активных кластеров фишинга, которые были специально нацелены на пользователей Gmail и Facebook. Эти инфраструктуры использовали многочисленные IP-адреса от нескольких хостинг-провайдеров, чтобы скрыть свое происхождение, однако их поведенческие модели оставались неизменными. В частности, моделирование фишинга включало такие меры, как проверка учетных данных в реальном времени, сбор данных о геолокации во время аутентификации и перенаправление на законные сайты служб после отправки учетных данных, что повышало их эффективность.

Отражая эту эволюцию, недавние усилия по обеспечению кибербезопасности сместили акцент с простого обнаружения фишинг-сообщений электронной почты на выявление базовой инфраструктуры фишинга. Такие инициативы используют информацию о киберпреступности, собранную на онлайн-форумах, что указывает на предстоящие угрозы до того, как они материализуются в реальных кампаниях. Такой упреждающий подход подчеркивает необходимость использования передовых систем мониторинга для предотвращения вредоносных действий и эффективной защиты конфиденциальных онлайн-транзакций.

#ParsedReport #CompletenessHigh
19-12-2025

Cloud Atlas activity in the first half of 2025: what changed

https://securelist.com/cloud-atlas-h1-2025-campaign/118517/

Report completeness: High

Actors/Campaigns:
Cloudatlas

Threats:
Rtf_template_inject_technique
Vbshower_tool
Powershower_tool
Vbcloud_tool
Dll_hijacking_technique

Victims:
Telecommunications sector, Construction sector, Government entities, Industrial plants

Industry:
Government, Telco

Geo:
Russia, Belarus, Asia

CVEs:
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft office_compatibility_pack (-)
- microsoft word (2007, 2010, 2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1041, T1053.005, T1057, T1059.001, T1059.005, T1071.001, T1082, T1083, have more...

IOCs:
Url: 1
Path: 8
File: 30
Registry: 2
Coin: 1
Hash: 26
Domain: 23

Soft:
Microsoft Office, Chrome, Yandex Browser

Algorithms:
xor, base64, rc4, zip, sha1, aes-256-cbc, aes-256

Win API:
WinExec, ShellExecuteW, CreateProcessWithLogonW, ExitProcess, NetBIOS

Languages:
python, powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 15, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cloud Atlas, активная хакерская группировка с 2014 года, в первую очередь нацелена на организации в Восточной Европе и Центральной Азии с помощью многоэтапного процесса заражения, инициируемого вредоносными фишинг-письмами, содержащими вложения DOCX, которые используют уязвимость CVE-2018-0802 в Microsoft Office. Их основной бэкдор, VBShower, эволюционировал для запуска дополнительных скриптов VB независимо от размера и сопровождается другими инструментами, такими как VBCloud и PowerShower для эксфильтрации данных и выполнения команд. Кроме того, группа использует сложный бэкдор CloudAtlas с методами DLL Hijacking через VLC media player, позволяющий выполнять произвольный код и собирать конфиденциальную информацию из зараженных систем.
-----

Cloud Atlas, хакерская группировка, действующая с 2014 года, сосредоточила свои атаки на Восточной Европе и Центральной Азии, в частности, на организациях в России и Беларуси. Группа использует многоэтапный процесс заражения, который начинается с фишинга электронных писем, содержащих вредоносные файлы документов. Эти документы используют известную уязвимость в редакторе уравнений Microsoft Office (CVE-2018-0802) для загрузки и выполнения вредоносных полезных нагрузок.

Цепочка заражения запускается, когда ничего не подозревающий пользователь открывает вредоносное вложение DOCX, запуская загрузку удаленного файла шаблона. В этом файле формата RTF используется эксплойт, который впоследствии загружает и запускает файл HTML-приложения (HTA). Основной бэкдор, используемый в их атаках, известен как VBShower, который претерпел несколько модификаций. Последняя итерация позволяет выполнять дополнительные скрипты VB в текущем контексте независимо от размера полезной нагрузки, что является значительным изменением по сравнению с предыдущей версией, которая ограничивала выполнение в зависимости от размера файла.

VBShower включает в себя множество полезных функций, связанных с эксфильтрацией данных и установкой других имплантатов. Скрипты собирают различную информацию из зараженной системы, такую как запущенные процессы, доступ к Облачным сервисам, настройки системного прокси-сервера и учетные данные пользователя. Примечательно, что VBCloud и PowerShower представляют собой два важнейших бэкдора, используемых группой. VBCloud характеризуется механизмом запуска, который использует зашифрованный скрипт ("upgrade.mds"), откуда он извлекает дополнительные команды для выполнения вредоносных скриптов. Между тем, PowerShower известен своими возможностями доступа к серверу command and control (C2) и выполнения дополнительных сценариев PowerShell в кодировке base64.

В дополнение к VBShower и VBCloud, Cloud Atlas использует сложный бэкдор, известный как CloudAtlas, который использует метод DLL Hijacking с помощью законного медиаплеера VLC в качестве загрузчика. Это позволяет ему запускать произвольный код, используя вредоносные библиотеки, которые управляют потоком его выполнения. Кроме того, группа разработала множество специализированных плагинов для своего бэкдора CloudAtlas, включая плагины для захвата файлов, кражи паролей из браузеров и сбора системной информации.

Несмотря на дублирующиеся функциональные возможности различных бэкдоров, Cloud Atlas продолжает расширять свой арсенал. Нацеленность на различные секторы, включая телекоммуникации и государственные учреждения, отражает стратегический подход к проведению кампаний. Продолжающаяся зависимость группы от Облачных сервисов для управления бэкдорами подчеркивает заметную тенденцию в их операционной тактике, демонстрирующую как адаптивность, так и расширяющиеся с годами возможности.

#ParsedReport #CompletenessMedium
18-12-2025

CVE-2025-55182: First Days of React2Shell Exploitations

https://www.bitsight.com/blog/cve-2025-55182-analysis-of-react2shell-exploitations

Report completeness: Medium

Threats:
React2shell_vuln
Outlaw_botnet
Infectedslurs_botnet
Rondodox
Mirai
Xmrig_miner
Reactonmynuts
Shellbot
Rustobot

Victims:
Web frameworks, Crypto mining targets, Internet connected devices

CVEs:
CVE-2025-66478 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


ChatGPT TTPs:
do not use without manual check
T1041, T1095, T1105, T1190, T1496, T1562.001, T1587.003, T1588.001

IOCs:
File: 5
Url: 15
Coin: 1
IP: 29
Domain: 9
Hash: 6

Soft:
Twitter, busybox, curl, systemd

Algorithms:
base64

Languages:
perl

Platforms:
x86

Links:
have more...
https://github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp
https://github.com/xmrig/xmrig-proxy

#ParsedReport #ExtractedSchema

Classified images:
dump: 2, schema: 1