З.ы. Пара "приватных" докладов шла без записи.

Всем привет!

29 ноября состоялся CTI meetup №4, который организовали Инсека и Технологии киберугроз.

CTI meetup в цифрах:
- собрали 100+ специалистов по поиску киберугроз из более чем 40 организаций
- с докладами выступили 7 экспертов отрасли
- 3 часа на свободное общение и обмен опытом

🎥 Презентации и запись выступлений CTI meetup №4 можно посмотреть на странице митапа.
Напоминаем, что в этот раз два доклада было без записи 🎬.

📸 Фотоотчет с митапа здесь.

Спасибо всем, кто был с нами на митапе.


Когда будет следующая встреча? - по мере формирования программы митапа. Присылайте информацию о себе и свою тему доклада на @insecatech, мы с вами обязательно свяжемся!

#ParsedReport #CompletenessLow
18-12-2025

Actively Exploited Authentication Bypass Vulnerabilities in FortiGate SSO

https://www.truesec.com/hub/blog/actively-exploited-authentication-bypass-vulnerabilities-in-fortigate-sso

Report completeness: Low

Victims:
Fortinet device administrators, Network infrastructure

CVEs:
CVE-2025-59719 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (le7.4.9, le7.6.4, 8.0.0)

CVE-2025-59718 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.22, <7.2.15, <7.4.11, <7.6.4)
- fortinet fortiswitchmanager (<7.0.6, <7.2.7)
- fortinet fortios (<7.0.18, <7.2.12, <7.4.9, <7.6.4)


ChatGPT TTPs:
do not use without manual check
T1078, T1190

IOCs:
IP: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Было выявлено активное использование уязвимостей обхода аутентификации в системе единого входа FortiGate (SSO), при этом злоумышленники нацеливались на административные учетные записи для несанкционированного доступа. Эти атаки подчеркивают риски, связанные с устройствами FortiNet, и указывают на то, что число попыток вредоносного входа в систему растет, что требует тщательного анализа организационных мер безопасности. Для устранения этих уязвимостей необходимы немедленные действия, поскольку злоумышленники продолжают искать компромиссы в уязвимых устройствах.
-----

Недавний анализ выявил активно используемые уязвимости обхода аутентификации в системе единого входа FortiGate (SSO), которые представляют значительный риск для организаций, использующих устройства FortiNet. Были замечены злоумышленники, выполняющие вредоносные попытки входа в систему, в первую очередь нацеленные на учетные записи администраторов. Характер этих попыток несанкционированного доступа указывает на настоятельную необходимость того, чтобы организации активно оценивали состояние своей безопасности.

Для снижения рисков, связанных с этими уязвимостями, организациям крайне важно принять незамедлительные меры. Сброс учетных данных брандмауэра является необходимым шагом при обнаружении любых подозрительных входов в систему. Кроме того, следует начать всестороннее расследование, чтобы определить степень любых потенциальных компромиссов. Организациям рекомендуется повысить свою безопасность, ограничив доступ к интерфейсам управления устройствами FortiNet только доверенными IP-адресами, тем самым уменьшив вероятность атаки.

Кроме того, настоятельно рекомендуется, чтобы организации обновились до последней исправленной версии прошивки FortiGate. Это обновление необходимо для исправления уязвимостей и предотвращения их дальнейшего использования злоумышленниками. Продолжающееся использование этих слабых мест позволяет предположить, что злоумышленники активно стремятся скомпрометировать устройства, делая своевременные обновления и меры безопасности критически важными для обеспечения целостности сетевой защиты.

#ParsedReport #CompletenessLow
18-12-2025

Hunting for Live Phishing Infrastructure Based on Cybercrime Intelligence

https://flare.io/learn/resources/blog/hunting-for-live-phishing-infrastructure/

Report completeness: Low

Threats:
Bitm_technique
Aitm_technique
Tycoon_2fa
Evilproxy_tool
Credential_harvesting_technique

Victims:
Gmail users, Facebook users

Geo:
Taiwanese, Hungarian, Italian, French, Russian, Korean, Portuguese, Spanish, German, Polish

ChatGPT TTPs:
do not use without manual check
T1020, T1036, T1056.003, T1102, T1110, T1111, T1550.004, T1557.002, T1566.002, T1583.003, have more...

IOCs:
File: 3
IP: 241

Soft:
Gmail, Office365, Outlooks, Node.js, Chrome, kubelet

Languages:
javascript, typescript

Links:
https://gist.github.com/flareio-research/cf10531327c8070a85a75c859e4c0c66

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, schema: 3, code: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Современные атаки фишинга становятся все более изощренными, используя такие методы, как Browser-in-the-Browser (BitB) и Злоумышленник посередине (AiTM), для обхода Многофакторной аутентификации и перехвата веб-сеансов. Злоумышленники используют облачные инфраструктуры с быстрой масштабируемостью для развертывания фишинга как услуги (PhaaS), что делает продвинутые атаки AiTM доступными для нетехнических специалистов. Недавние результаты форумов по киберпреступности указывают на то, что экосистема, управляемая маркетингом, сосредоточена на операционной эффективности, с особым акцентом на таргетинг таких сервисов, как Gmail и Facebook, с помощью передовых методов проверки учетных данных.
-----

Современные методы фишинга выходят за рамки традиционных методов, создавая значительные риски для онлайн-безопасности. Современные наборы для фишинга используют передовые методы, такие как Browser-in-the-Browser (BitB) и Злоумышленник посередине (AiTM), в частности, для обхода Многофакторной аутентификации (MFA) и перехвата активных веб-сессий. Используя эти методы, злоумышленники могут использовать кражу файлов cookie сеанса в режиме реального времени, передавать вызовы MFA и манипулировать потоками единого входа (SSO) или OAuth, делая возможным захват учетных записей даже при наличии надежных механизмов аутентификации.

Изощренность операций фишинга также проявляется в их стратегиях развертывания инфраструктуры. Многие злоумышленники переходят к облачным средам, поддерживаемым современными технологиями, такими как Kubernetes. Это обеспечивает быструю масштабируемость и устойчивость инфраструктуры, позволяя быстро создавать многочисленные конечные точки фишинга и управлять ими, сводя к минимуму время простоя из-за действий правоохранительных органов по устранению неполадок. Операционные возможности этих предложений "фишинг как услуга" (PhaaS) значительно снижают планку для входа, позволяя нетехническим акторам с легкостью выполнять сложные AiTM-атаки.

В ходе недавнего расследования исследователи изучили русскоязычные форумы по киберпреступности, обнаружив рекламу возможностей фишинга, в которой подчеркивалась оперативная эффективность, а не конкретные названия инструментов. Это указывает на переход к экосистеме, управляемой маркетингом, где вредоносное ПО и инструменты часто нейтрализуются и маркируются на основе их результатов, таких как успешный обход MFA или проверка сеанса в реальном времени, а не их технической основы.

Анализ привел к важным оперативным выводам, включая выявление активных кластеров фишинга, которые были специально нацелены на пользователей Gmail и Facebook. Эти инфраструктуры использовали многочисленные IP-адреса от нескольких хостинг-провайдеров, чтобы скрыть свое происхождение, однако их поведенческие модели оставались неизменными. В частности, моделирование фишинга включало такие меры, как проверка учетных данных в реальном времени, сбор данных о геолокации во время аутентификации и перенаправление на законные сайты служб после отправки учетных данных, что повышало их эффективность.

Отражая эту эволюцию, недавние усилия по обеспечению кибербезопасности сместили акцент с простого обнаружения фишинг-сообщений электронной почты на выявление базовой инфраструктуры фишинга. Такие инициативы используют информацию о киберпреступности, собранную на онлайн-форумах, что указывает на предстоящие угрозы до того, как они материализуются в реальных кампаниях. Такой упреждающий подход подчеркивает необходимость использования передовых систем мониторинга для предотвращения вредоносных действий и эффективной защиты конфиденциальных онлайн-транзакций.

#ParsedReport #CompletenessHigh
19-12-2025

Cloud Atlas activity in the first half of 2025: what changed

https://securelist.com/cloud-atlas-h1-2025-campaign/118517/

Report completeness: High

Actors/Campaigns:
Cloudatlas

Threats:
Rtf_template_inject_technique
Vbshower_tool
Powershower_tool
Vbcloud_tool
Dll_hijacking_technique

Victims:
Telecommunications sector, Construction sector, Government entities, Industrial plants

Industry:
Government, Telco

Geo:
Russia, Belarus, Asia

CVEs:
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft office_compatibility_pack (-)
- microsoft word (2007, 2010, 2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1041, T1053.005, T1057, T1059.001, T1059.005, T1071.001, T1082, T1083, have more...

IOCs:
Url: 1
Path: 8
File: 30
Registry: 2
Coin: 1
Hash: 26
Domain: 23

Soft:
Microsoft Office, Chrome, Yandex Browser

Algorithms:
xor, base64, rc4, zip, sha1, aes-256-cbc, aes-256

Win API:
WinExec, ShellExecuteW, CreateProcessWithLogonW, ExitProcess, NetBIOS

Languages:
python, powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 15, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cloud Atlas, активная хакерская группировка с 2014 года, в первую очередь нацелена на организации в Восточной Европе и Центральной Азии с помощью многоэтапного процесса заражения, инициируемого вредоносными фишинг-письмами, содержащими вложения DOCX, которые используют уязвимость CVE-2018-0802 в Microsoft Office. Их основной бэкдор, VBShower, эволюционировал для запуска дополнительных скриптов VB независимо от размера и сопровождается другими инструментами, такими как VBCloud и PowerShower для эксфильтрации данных и выполнения команд. Кроме того, группа использует сложный бэкдор CloudAtlas с методами DLL Hijacking через VLC media player, позволяющий выполнять произвольный код и собирать конфиденциальную информацию из зараженных систем.
-----

Cloud Atlas, хакерская группировка, действующая с 2014 года, сосредоточила свои атаки на Восточной Европе и Центральной Азии, в частности, на организациях в России и Беларуси. Группа использует многоэтапный процесс заражения, который начинается с фишинга электронных писем, содержащих вредоносные файлы документов. Эти документы используют известную уязвимость в редакторе уравнений Microsoft Office (CVE-2018-0802) для загрузки и выполнения вредоносных полезных нагрузок.

Цепочка заражения запускается, когда ничего не подозревающий пользователь открывает вредоносное вложение DOCX, запуская загрузку удаленного файла шаблона. В этом файле формата RTF используется эксплойт, который впоследствии загружает и запускает файл HTML-приложения (HTA). Основной бэкдор, используемый в их атаках, известен как VBShower, который претерпел несколько модификаций. Последняя итерация позволяет выполнять дополнительные скрипты VB в текущем контексте независимо от размера полезной нагрузки, что является значительным изменением по сравнению с предыдущей версией, которая ограничивала выполнение в зависимости от размера файла.

VBShower включает в себя множество полезных функций, связанных с эксфильтрацией данных и установкой других имплантатов. Скрипты собирают различную информацию из зараженной системы, такую как запущенные процессы, доступ к Облачным сервисам, настройки системного прокси-сервера и учетные данные пользователя. Примечательно, что VBCloud и PowerShower представляют собой два важнейших бэкдора, используемых группой. VBCloud характеризуется механизмом запуска, который использует зашифрованный скрипт ("upgrade.mds"), откуда он извлекает дополнительные команды для выполнения вредоносных скриптов. Между тем, PowerShower известен своими возможностями доступа к серверу command and control (C2) и выполнения дополнительных сценариев PowerShell в кодировке base64.

В дополнение к VBShower и VBCloud, Cloud Atlas использует сложный бэкдор, известный как CloudAtlas, который использует метод DLL Hijacking с помощью законного медиаплеера VLC в качестве загрузчика. Это позволяет ему запускать произвольный код, используя вредоносные библиотеки, которые управляют потоком его выполнения. Кроме того, группа разработала множество специализированных плагинов для своего бэкдора CloudAtlas, включая плагины для захвата файлов, кражи паролей из браузеров и сбора системной информации.

Несмотря на дублирующиеся функциональные возможности различных бэкдоров, Cloud Atlas продолжает расширять свой арсенал. Нацеленность на различные секторы, включая телекоммуникации и государственные учреждения, отражает стратегический подход к проведению кампаний. Продолжающаяся зависимость группы от Облачных сервисов для управления бэкдорами подчеркивает заметную тенденцию в их операционной тактике, демонстрирующую как адаптивность, так и расширяющиеся с годами возможности.

#ParsedReport #CompletenessMedium
18-12-2025

CVE-2025-55182: First Days of React2Shell Exploitations

https://www.bitsight.com/blog/cve-2025-55182-analysis-of-react2shell-exploitations

Report completeness: Medium

Threats:
React2shell_vuln
Outlaw_botnet
Infectedslurs_botnet
Rondodox
Mirai
Xmrig_miner
Reactonmynuts
Shellbot
Rustobot

Victims:
Web frameworks, Crypto mining targets, Internet connected devices

CVEs:
CVE-2025-66478 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


ChatGPT TTPs:
do not use without manual check
T1041, T1095, T1105, T1190, T1496, T1562.001, T1587.003, T1588.001

IOCs:
File: 5
Url: 15
Coin: 1
IP: 29
Domain: 9
Hash: 6

Soft:
Twitter, busybox, curl, systemd

Algorithms:
base64

Languages:
perl

Platforms:
x86

Links:
have more...
https://github.com/vercel/next.js/security/advisories/GHSA-9qr9-h5gf-34mp
https://github.com/xmrig/xmrig-proxy

#ParsedReport #ExtractedSchema

Classified images:
dump: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182 - это серьезная уязвимость Удаленного Выполнения Кода в React2Shell, которая широко использовалась, было зарегистрировано более 68 000 запросов, преимущественно направленных на эксфильтрацию данных. Ботнет InfectedSlurs и Rondo использовали эту уязвимость, сосредоточившись на развертывании полезных нагрузок Mirai и XMRig, в то время как Outlaw Botnet также начал использовать ее, используя методы майнинга криптовалют. Эта тенденция указывает на сдвиг среди злоумышленников в сторону концентрированных стратегий эксплуатации, подчеркивая необходимость проявлять бдительность в отношении возникающих угроз, связанных с широко распространенными структурами, такими как React.js и Next.js .
-----

CVE-2025-55182 был признан существенной уязвимостью Удаленного Выполнения Кода (RCE), используемой в компоненте React2Shell. Анализ данных honeypot с момента раскрытия уязвимости по 9 декабря выявил более 68 000 запросов, связанных с этим эксплойтом. Из них примерно 97% были попытками использовать RCE, но только около 5000 из них содержали вредоносный код, направленный на эксфильтрацию данных или получение дополнительной полезной нагрузки.

Ботнет InfectedSlurs, активный с 2023 года, быстро внедрил React2Shell в свою деятельность. Этот ботнет обычно развертывает полезные нагрузки как Mirai, так и XMRig. Другой известный ботнет, Rondo, также начал использовать уязвимость React2Shell, перейдя от использования широкого спектра эксплойтов к сосредоточению преимущественно на этой единственной уязвимости по состоянию на 6 декабря. Это знаменует собой значительный методологический сдвиг среди злоумышленников в сторону концентрированных стратегий использования.

Параллельно Outlaw Botnet, который функционирует с 2018 года и обменивается данными через IRC, начал использовать уязвимость в тот же день и продолжает активно участвовать в этих усилиях. Преобладающим методом эксплуатации, наблюдаемым у различных акторов, является внедрение программного обеспечения для майнинга криптовалют, которое служит простым, но прибыльным подходом для злоумышленников, нацеленных на уязвимые сервисы. Конкурентный характер этих угроз очевиден, поскольку акторы часто пытаются удалить конкурирующее программное обеспечение для майнинга из скомпрометированных систем и могут даже применять исправления к уязвимостям, чтобы сохранить контроль над ресурсами.

Кроме того, ботнет Mirai и его разновидности по-прежнему широко используются для сканирования и эксплуатации уязвимых устройств Интернета вещей. Наблюдения за эксплуатационной активностью с участием Mirai были особенно отмечены в период с 6 по 9 декабря. Быстрое использование уязвимости React2Shell подчеркивает гибкость злоумышленников в использовании критических уязвимостей, особенно учитывая широкое использование React.js и Next.js фреймворки. В то время как некоторые виды эксплуатации, такие как майнинг, могут показаться менее опасными, наличие более сложных угроз со стороны ботнет, таких как InfectedSlurs, Rondo и Outlaw, создает значительные риски, особенно из-за возможности контроля данных и эксфильтрации. Эти результаты представляют собой лишь фрагмент продолжающихся эксплуатаций, связанных с уязвимостью.

#ParsedReport #CompletenessLow
19-12-2025

27,500 Aussie Uni Records Dumped in Code Repo Catastrophe

https://www.secureblink.com/cyber-security-news/27-500-aussie-uni-records-dumped-in-code-repo-catastrophe

Report completeness: Low

Threats:
Spear-phishing_technique

Victims:
University of sydney, Higher education

Industry:
Education

Geo:
Sydney, Australian

TTPs:
Tactics: 6
Technics: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В Сиднейском университете произошла утечка данных о 27 500 сотрудниках и студентах, связанная со взломом средств контроля доступа или кражей учетных данных, причем первоначальный доступ, вероятно, был получен через общедоступные приложения или Существующие учетные записи в облачном сервисе. Атака использовала уязвимости в системах разработки программного обеспечения, используя такие методы, как получение учетных данных с помощью брутфорса или фишинга, а также эксфильтрацию данных по протоколу HTTPS. Инцидент вызывает опасения по поводу потенциальной кражи личных данных и нацеленных атак фишинга на затронутых лиц.
-----

Взлом в Сиднейском университете привел к раскрытию 27 500 записей сотрудников и студентов через взломанное онлайн-хранилище кода, вероятно, из-за компрометации учетных данных или сбоев в контроле доступа. Этот инцидент, обнаруженный в начале-середине декабря 2025 года, вызвал серьезные опасения по поводу безопасности, поскольку выявил уязвимости, связанные с менее строго защищенными системами, которые обычно используются для разработки программного обеспечения, такими как GitLab или GitHub, а не с основными базами данных, такими как студенческие или кадровые системы.

Атака, по-видимому, использовала слабые средства контроля доступа, потенциально используя методы, соответствующие платформе MITRE ATT&CK. Первоначальный доступ мог быть получен путем использования общедоступных приложений или путем использования Существующих учетных записей, связанных с облачным сервисом, в котором размещалось хранилище кода. Методы обхода защиты, хотя и не подтвержденные, могли включать манипулирование журналами, чтобы скрыть нарушение. Методы получения учетных данных могут включать атаки брутфорсом или кампании фишинга для извлечения конфиденциальной информации, необходимой для получения первоначального доступа к хранилищу.

Сбор данных был облегчен благодаря прямому доступу к серверу хранилища, что позволило злоумышленникам извлечь конфиденциальную личную информацию (PII). При эксфильтрации, возможно, использовались стандартные Веб-протоколы, такие как HTTPS, что делало ее менее обнаруживаемой. В ответ на инцидент университет изменил свои правила обнаружения, чтобы гарантировать, что политики предотвращения потери данных (DLP) помечают эксфильтрацию определенных конфиденциальных шаблонов из непроизводственных сред. Кроме того, основное внимание уделялось расследованию необычного исходящего трафика, исходящего с IP-адресов подсети разработки.

Чтобы снизить подобные риски в будущем, университету рекомендуется провести всестороннее сканирование всех непроизводственных систем для выявления любых теневых данных, которые могут содержать незашифрованные производственные PII. Внедрение строгого контроля доступа на основе ролей (RBAC) и обязательной Многофакторной аутентификации (MFA) на платформах разработки и совместной работы имеет решающее значение. Кроме того, проверка учетных записей пользователей на предмет удаления устаревших или чрезмерных привилегий, наряду с отделением сетей разработки от производственных сред, может значительно снизить вероятность перемещения внутри компании злоумышленников после взлома.

Последствия этого нарушения выходят за рамки немедленного раскрытия данных, повышая риск кражи личных данных и нацеленных атак фишинга. Пострадавшим лицам рекомендуется проявлять особую бдительность в отношении любых сообщений, в которых могут содержаться ссылки на личные данные в результате такого воздействия.

#ParsedReport #CompletenessMedium
18-12-2025

Acronis TRU Alliance {Hunt.io}: Hunting DPRK threats - New Global Lazarus & Kimsuky campaigns

https://www.acronis.com/en/tru/posts/acronis-tru-alliance-huntio-hunting-dprk-threats-new-global-lazarus-and-kimsuky-campaigns/

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: cyber_espionage)
Kimsuky (motivation: cyber_espionage)
Famous_chollima
Bluenoroff
Smoothoperator

Threats:
Clickfix_technique
Supply_chain_technique
Badcall
Poolrat
Passview_tool
Fastreverseproxy_tool
Opendir_technique
Credential_harvesting_technique
Http_troy
Blindingcan
Memload
Passwordfox_tool
Netpass_tool
Dialupass_tool
Pstpassword_tool
Rclone_tool
Mythic_c2
Quasar_rat
Sqlmap_tool
Masscan_tool
Nmap_tool
Ngrok_tool
Microsocks_tool
Frpc_tool
Impacket_tool
Nuclei_tool
Mimikatz_tool

Geo:
Singapore, Hong kong, Korean, Chinese, Dprk, Dutch, Ireland

ChatGPT TTPs:
do not use without manual check
T1090, T1105, T1199, T1555, T1583.004, T1584.004, T1587.003, T1588.002

IOCs:
Hash: 8
IP: 38
Domain: 1
File: 12

Soft:
Linux, twitter, Burp Suite

Algorithms:
zip, exhibit, sha256

Functions:
Fake_Cmd, logMessage

Languages:
python