#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TangleCrypt - это новый упаковщик вредоносного ПО для Windows, используемый при атаках вымогателей, работающий совместно с STONESTOP, который нарушает работу программного обеспечения безопасности, такого как Microsoft Defender, путем использования драйверов. TangleCrypt шифрует свою полезную нагрузку в разделе ресурсов PE, чтобы скрыть ее, используя минимальные методы антианализа, включая базовое шифрование строк и динамическое разрешение импорта. Он выполняет полезную нагрузку с помощью таких методов, как выделение памяти или приостановка дочерних процессов, выявляя проблемы для обнаружения и принятия контрмер в развивающихся киберугрозах.
-----

TangleCrypt - это недавно проанализированный пакет вредоносного ПО для Windows, используемый при атаках программ-вымогателей, в частности, выявленный в сочетании с EDR killer STONESTOP. STONESTOP работает путем принудительного отключения продуктов безопасности в системах либо путем использования уязвимых драйверов, либо с помощью пользовательского вредоносного драйвера. В ходе исследований, проведенных группой WithSecure STINGR, они обнаружили, что STONESTOP специально нацелен на Microsoft Defender, а также на другие антивирусные решения с различными возможностями в разных образцах.

Основная цель TangleCrypt - замаскировать фактическую полезную нагрузку внутри зараженных исполняемых файлов, используя методы, типичные для упаковщиков вредоносного ПО. Полезная нагрузка зашифрована в разделе ресурсов PE, в то время как остальная часть файла служит загрузчиком. Методы антианализа, используемые TangleCrypt, ограничены, но включают методы строкового шифрования и динамического разрешения импорта, которые затрудняют легкую идентификацию его возможностей. Анти-отладка загрузчика минимальна и предназначена для запуска исключения нарушения доступа, которое может быть обойдено опытным аналитиком.

Примечательно, что TangleCrypt компилируется без оптимизации, что приводит к bloated загрузчику, что усложняет процессы отладки. Он устраняет функции KERNEL32.DLL используя расшифрованные строки, вытекает из его зашифрованных ресурсов. Выполнение вредоносное ПО вредоносных программ варьируется; один способ выделения памяти в процессе ее через VirtualAlloc Для, в то время как другая предполагает создание процесс приостановлен ребенка писать и исполнять расшифрованы полезные данные, как показано на примерах, как 4cBh.exe' и 'b1.exe'.

Анализ выявил своеобразное поведение в конкретных образцах, таких как '4cBh.exe "сбой из-за отсутствия прав администратора, который позже был связан с TangleCrypt's обработкой среды выполнения. Традиционные функции среды выполнения C становятся критически важными в ‘b1.exe ’, который статически связан и настроен для методов внедрения, которые определяют, какой импорт заменяется TangleCrypt во время процесса загрузки.

TangleCrypt является примером продолжающейся эволюции EDR killers и их методов сокрытия вредоносных операций. Поскольку злоумышленники продолжают разрабатывать все более изощренные методологии уклонения от обнаружения и выполнения своих полезных задач, TangleCrypt является свидетельством этих проблем в современной киберзащите.

#ParsedReport #CompletenessHigh
19-12-2025

Tracing a Paper Werewolf campaign through AI-generated decoys and Excel XLLs

https://intezer.com/blog/tracing-a-paper-werewolf-campaign-through-ai-generated-decoys-and-excel-xlls/

Report completeness: High

Actors/Campaigns:
Paper_werewolf (motivation: cyber_espionage)
Stone_panda

Threats:
Echogather
Agent_tesla
Dridex
Romcom_rat

Victims:
Russian organizations

Industry:
Government

Geo:
Israel, Ukraine, Russian federation, Russian, Russia

CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)

CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.003, T1105, T1137.006

IOCs:
Hash: 14
Path: 3
File: 3
Url: 3
Command: 1
IP: 6
Domain: 1

Soft:
Microsoft Excel

Algorithms:
base64, xor, sha256

Win API:
LoadLibrary, CreateProcessW, NetBIOS

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Paper Werewolf использует вредоносные файлы Excel XLL для развертывания бэкдора EchoGather, использующего функцию dllmain для скрытого выполнения полезной нагрузки при взаимодействии с пользователем. EchoGather обеспечивает удаленное выполнение команд и эксфильтрацию файлов, кодирование сообщений с помощью Base64 и управление передачей данных с помощью идентификаторов запросов. Злоумышленники продемонстрировали эволюцию в своей тактике, о чем свидетельствует инфраструктура, связанная с российскими IP-адресами, и продолжающаяся адаптация к новым механизмам доставки.
-----

Кампания Paper Werewolf создала значительную угрозу благодаря использованию вредоносных файлов Excel XLL, которые служат вектором для их бэкдора EchoGather. Файл XLL, запущенный пользователем, запускает Excel и позволяет встроенной библиотеке DLL выполнять определенные функции. В отличие от законных Надстроек XLL, этот вредоносный вариант использует функцию dllmain вместо того, чтобы полагаться на стандартные функции, такие как xlAutoOpen. Полезная нагрузка активируется, когда потоки в Excel завершаются, что обеспечивает скрытное выполнение.

EchoGather был разработан для системной разведки и связи с сервером управления (C2). Он использует кодировку Base64 для всех исходящих сообщений. Бэкдор получает команды, связанные с уникальным идентификатором запроса, который помогает управлять передачей данных в нескольких пакетах. Примечательно, что он использует жестко закодированный ключ XOR для выполнения команд, в частности, с помощью шаблона, который предполагает выполнение команд с использованием cmd.exe , при этом выходные данные отправляются обратно в C2 вместе с соответствующим идентификатором запроса.

Бэкдор поддерживает несколько функциональных возможностей, включая удаленное выполнение команд, отправку конфигурационных данных обратно в C2, эксфильтрацию файлов и удаленную запись файлов. Для эксфильтрации файлов EchoGather делит файлы на управляемые фрагменты для передачи, отправляя заголовки, которые предоставляют метаданные для каждой передачи. Возможность удаленной записи файлов позволяет бэкдору восстанавливать файлы в целевых системах на основе входящих фрагментов.

Анализ инфраструктуры показал, что домен, подключенный к этой кампании, был зарегистрирован в сентябре 2025 года и отображал различные разрешения, связанные с Cloudflare и геолокированными российскими IP-адресами. Это наводит на мысль о попытке замаскировать их деятельность, используя при этом существующую инфраструктуру для проведения операций.

Отнесение кампании к хакерской группировке Paper Werewolf подтверждается общей инфраструктурой и методами, которые отражают их предыдущие действия. Недавняя адаптация группы к использованию файлов XLL указывает на продолжающуюся эволюцию их методологий атак, намекая на двойную стратегию использования новых механизмов доставки при одновременном использовании знакомых инструментов. Наблюдаемые ошибки в исполнении и лингвистической точности подразумевают, что, хотя тактика группы совершенствуется, ее оперативная зрелость, возможно, все еще развивается, выявляя возникающие киберугрозы, нацеленные на организации, особенно в России.

#ParsedReport #CompletenessMedium
18-12-2025

Prince of Persia: A Decade of Iranian Nation-State APT Campaign Activity under the Microscope

https://www.safebreach.com/blog/prince-of-persia-a-decade-of-an-iranian-nation-state-apt-campaign-activity/

Report completeness: Medium

Actors/Campaigns:
Ferocious_kitten (motivation: cyber_espionage, financially_motivated)
Operation_mermaid (motivation: cyber_espionage)

Threats:
Foudre
Tonnerre
Maxpinner
Rugissement
Deep_freeze
Amaqfinder

Victims:
Diplomatic sector

Industry:
Government, Telco, Critical_infrastructure

Geo:
French, Iraq, Iranian, Canada, Tehran, Brazil, Danish, Germany, Turkey, India, Iran, Saudi arabia

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1070.004, T1071.001, T1105, T1204.002, T1566.001, T1568.002, T1583.006

IOCs:
File: 14
Hash: 30
IP: 12
Domain: 6
Url: 5

Soft:
Telegram, Microsoft Excel, windows media player, Linux, LiteSpeed

Algorithms:
crc-32, zip

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранская хакерская группировка, известная как Prince of Persia, продемонстрировала устойчивый и развивающийся операционный ландшафт, особенно с появлением вредоносного ПО Foudre версии 34, которое теперь использует файлы Microsoft Excel со встроенными исполняемыми файлами, обходя антивирусное обнаружение. Кроме того, группа внедряет Tonnerre версии 17, связанный алгоритмом генерации домена с Foudre. Их методы обеспечения оперативной безопасности включают частую смену серверов командования и контроля и использование различных доменных имен, что подчеркивает их постоянные возможности по борьбе с угрозами.
-----

Исследование, проведенное в отношении группы акторов иранской национальной киберугрозы, известной как Prince of Persia, показывает непрерывный и эволюционирующий оперативный ландшафт, особенно в период с 2022 по 2025 год. SafeBreach Labs, отслеживающая эту группу с 2019 года, задокументировала, что они адаптировали свое вредоносное ПО и инфраструктуру, даже после того, как в 2022 году активность, по-видимому, снизилась.

Одним из ключевых открытий стало появление вредоносного ПО версии 34 Foudre, которое изменило вектор атаки с файла макроса на файл Microsoft Excel, содержащий встроенный исполняемый файл. Этот файл Excel примечателен тем, что его невозможно обнаружить с помощью антивирусных движков на таких платформах, как VirusTotal. Кроме того, команда идентифицировала Tonnerre версии 17, которая использует общий алгоритм генерации домена (DGA) с Foudre, но использует другой префикс и включает встроенную статью, датированную 20 января 2023 года.

Группа демонстрирует надежную операционную безопасность, часто переключая серверы командования и контроля (C2) и применяя контрмеры для удаления вредоносного ПО с компьютеров-жертв. В августе 2022 года исследователи наблюдали, как злоумышленник активно выполнял команды для удаления экземпляров Foudre и перевода жертв на новые серверы C2. Недавно идентифицированные структуры C2 для последних штаммов Foudre и Tonnerre состоят из организованных каталогов, помеченных одиночными буквами — r, поиск, t, web для Tonnerre v50 и dirm, dirt, загрузка, ключ, список для новой версии Foudre.

Оба семейства вредоносных ПО генерируют доменные имена, использующие различные TLD, причем Tonnerre использует "privatedns.org " и Foudre, использующий "сайт","hbmc.net , " и "ix.tc ."Примечательно, что DGA от Foudre's создает домены длиной от 10 до 12 символов, в то время как Tonnerre генерирует домены длиной 13 символов.

Примечательно, что в ходе исследования были обнаружены варианты из более ранних версий Foudre, привязанные к кампаниям в период с 2017 по 2020 год, включая конкретный вариант, Маскировку под Amaq News Finder, связанный с группировкой "Исламское государство". Троянец MaxPinner, недавно обновленный до версии 8, взаимодействует с Tonnerre и неопознанным вредоносным ПО Rugissement, выполняя проверки, чтобы избежать повторного заражения во время своей работы.

Дальнейший анализ выявил ранее недокументированные варианты глубокой заморозки и операционные шаблоны, которые включают встроенные пароли для двоичного дешифрования во время выполнения. В ходе продолжающегося исследования также были отслежены различные IP-адреса серверов C2 с указанными датами активности и видами деятельности, что подчеркивает постоянную угрозу, исходящую от группы Prince of Persia.

Это тщательно задокументированное представление о хакерской группировке Prince of Persia подчеркивает их адаптивность, изощренность их вредоносного ПО и предоставляет важные показатели компрометации для специалистов по кибербезопасности, стремящихся понять и снизить риски, связанные с этой постоянной угрозой.

#ParsedReport #CompletenessHigh
18-12-2025

Black Hole of Trust: SEO Poisoning in Silver Fox's Space Odyssey

https://www.nccgroup.com/media/yc3dlppc/black-hole-of-trust-seo-poisoning-in-silver-fox-s-space-odyssey.pdf

Report completeness: High

Actors/Campaigns:
Silver_fox (motivation: cyber_espionage, financially_motivated)

Threats:
Seo_poisoning_technique
Valleyrat
Gh0st_rat
Cringe
Holdinghands
Todesk_tool
Typosquatting_technique
Process_injection_technique

Victims:
Users of software download sites, Technology users, General public

Industry:
Healthcare, Financial

Geo:
Cambodia, Chinese, Arab emirates, Japan, Malaysia, Canada, China, Korea, Taiwan, Vietnam, America, Hong kong, Myanmar, Asia-pacific, Singapore, United kingdom, Germany, Asia, Thailand, Laos, Australia, United arab emirates, Philippines, Netherlands

TTPs:
Tactics: 5
Technics: 15

IOCs:
Domain: 19
File: 13
Url: 11
IP: 49
Path: 1
Hash: 14

Soft:
Microsoft Teams, Telegram, AweSun, Youdao, Sogou, Android, Kuailian VPN, NSIS installer, Windows Defender

Algorithms:
exhibit, zip, base64

Functions:
fetch

Win API:
DllRegisterServer, NtSetInformationThread

Languages:
javascript, powershell, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Silver Fox, китайская APT-группировка, действующая с 2022 года, использует поисковую систему SEO poisoning ( employso employs), чтобы заманить пользователей на вредоносные домены, имитирующие законные приложения, такие как Microsoft Teams. Их деятельность включает распространение вредоносного ПО ValleyRAT через такие домены, как teamscn.com и teams-zh.net , с полезной нагрузкой, скрытой в ZIP-файлах; эти методы включают JavaScript для запутывания запросов и используют небезопасные административные панели для управления загрузками. Вредоносное ПО оснащено установщиком на базе NSIS для C2 communications и демонстрирует сложную тактику уклонения, хотя ему не хватает постоянных механизмов для долгосрочного выполнения.
-----

Silver Fox, в apt-группировка, основанная в Китае, была активной с момента ее появления в 2022 году, со значительным объемом операций документально до 2024 года. Группы тактики, методов и процедур (ТПД), в частности, включать отравление поисковой оптимизации (SEO) для перенаправления пользователей на вредоносные домены маскировка как легитимные приложения, такие как командами Microsoft. Эта кампания была частично раскрыта через открытую панель управления соединением, который, как полагают, облегчает отслеживание загрузки деятельность бэкдор для установки бэкдора.

Расследование инфраструктуры, используемой Silver Fox, выявило подключения к нескольким доменам, на которых, как известно, размещаются несколько способов доставки вредоносного ПО, включая известное вредоносное ПО ValleyRAT. Два основных домена, teamscn.com и teams-zh.net , были идентифицированы как источники установки поддельных команд. Загрузки с этих сайтов инициируют доставку ZIP-файлов, содержащих ValleyRAT, при этом конкретный хостинг в Alibaba Cloud и Tencent Cloud усиливает подозрения в отношении их операционной инфраструктуры. Скрипты загрузчика используют JavaScript, чтобы скрыть фактический запрос полезной нагрузки, что еще больше усложняет усилия по обнаружению.

Примечательно, что административная панель, предназначенная для управления этими загрузками, оказалась незащищенной, что позволило исследователям обнаружить другие приложения, выдающие себя за пользователей, связанные с Silver Fox. Группа, по-видимому, использует определенные ориентировочные соглашения об именовании и шаблоны при регистрации своих доменов, что помогает приписывать новые домены одному и тому же актору на основе установленных шаблонов предыдущих кампаний.

Вредоносное ПО само по себе, проанализированное в ToDesk_yuancheng_x64.1.3.zip образец, демонстрирующий характеристики, соответствующие другим поддельным средствам дистанционного управления. Он включал в себя установщик на базе NSIS, предназначенный для доставки полезных нагрузок, которые выполняют внешнюю связь с серверами командования и контроля (C2), такими как сервер, размещенный по IP-адресу, связанному с известными операциями Silver Fox. Наличие различных методов обхода защиты, включая методы обфускации с использованием ENIGMA Protector и специальных исключений PowerShell, указывает на уровень сложности, направленный на то, чтобы избежать обнаружения.

На начальной стадии запуска вредоносного ПО не наблюдалось никаких постоянных механизмов, что позволяет предположить, что, хотя установщик функционирует для доставки полезной нагрузки, он не обеспечивает долгосрочного присутствия, если только на последующих этапах не используются такие стратегии. Инфраструктура управления, подключенная к образцам вредоносного ПО, указывает на среду совместной работы, с несколькими IP-адресами, идентифицированными как часть операционной сети Silver Fox.

#ParsedReport #CompletenessMedium
19-12-2025

Choose Your Fighter: A New Stage in the Evolution of Android SMS Stealers in Uzbekistan

https://www.group-ib.com/blog/mobile-malware-uzbekistan/

Report completeness: Medium

Actors/Campaigns:
Trickywonders
Blazefang

Threats:
Wonderland
Midnightdat
Roundrift
Sms_stealer
Ajina
Qwizzserial
Polymorphism_technique
Classiscam

Victims:
Financial services, Mobile users in uzbekistan

Industry:
Financial

Geo:
Asia, Uzbekistan

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 4
Hash: 15

Soft:
Android, Telegram, Google Play

Algorithms:
gzip, sha1, base64, xor, aes

Functions:
finish, getDecryptedString

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО "Wonderland" для Android SMS stealer представляет собой эволюцию тактики киберпреступников в Узбекистане, использующее передовые методы, такие как зашифрованная доставка полезной нагрузки и функции антианализа для обхода мер безопасности. Злоумышленники используют дропперы, такие как "MidnightDat" и "RoundRift", для распространения вредоносных APK-файлов, замаскированных под законные приложения, включая двунаправленную связь через WebSocket для удаленного выполнения команд. Последние варианты демонстрируют сложную систему запутывания и проверки на модифицированных устройствах, что свидетельствует о продолжающейся адаптации вредоносного ПО для обхода обнаружения.
-----

Недавний анализ выявил значительную эволюцию вредоносного ПО для Android SMS stealer в Узбекистане, с особым акцентом на новое семейство вредоносных ПО под названием "Wonderland". Это семейство означает заметный сдвиг в тактике киберпреступников, включающий передовые методы, такие как доставка зашифрованной полезной нагрузки, усовершенствованные механизмы распространения и функции антианализа, позволяющие избежать обнаружения современными мерами безопасности Android.

Киберпреступники в основном используют два типа дропперов для распространения вредоносного ПО, причем Telegram становится центральным каналом распространения. Этот метод включает в себя создание вредоносных APK-файлов, которые маскируются под законные приложения, чтобы избежать подозрений пользователей. Как правило, эти дропперы предназначены для скрытой доставки основной полезной нагрузки, обеспечивая минимальное обнаружение вредоносного ПО. Например, дроппер "MidnightDat" встраивает свою полезную нагрузку стиллера в зашифрованный файл данных, в то время как "RoundRift" использует более простую методологию шифрования для извлечения вторичных полезных данных.

Схема работы этих киберпреступных групп иллюстрирует хорошо структурированную иерархию, включая роли разработчиков и сотрудников, которым поручено распространять вредоносное ПО с помощью различных средств, таких как поддельные страницы Google Play, реклама в Социальных сетях и вводящие в заблуждение профили знакомств. Примечательно, что вредоносное ПО "Страна чудес" использует двунаправленную связь через WebSocket, позволяя злоумышленникам удаленно выполнять команды, отправлять SMS-сообщения и даже отправлять USSD-запросы непосредственно с зараженных устройств.

Более того, последние версии вредоносного ПО демонстрируют изощренное использование методов обфускации для защиты своего кода и включают проверки, блокирующие выполнение на модифицированных устройствах. Это радикальное изменение по сравнению с предыдущими атаками, которые в основном собирали логи SMS линейным способом без особой сложности. По мере развития методов обнаружения вредоносного ПО меняются и методы, используемые злоумышленниками, причем дропперы становятся предпочтительнее из-за их способности обходить строгие требования к разрешениям и уклоняться от проверок безопасности в режиме реального времени.

Чтобы смягчить эти возникающие угрозы, эксперты рекомендуют пользователям проявлять бдительность, советуя им избегать установки APK-файлов из неизвестных источников, быть внимательными к необычному поведению приложений и следовать протоколам безопасности, таким как включение встроенных функций безопасности Android. В целом, этот эволюционирующих угроз подчеркивает необходимость непрерывной адаптации в наступательных и оборонительных кибербезопасность кибербезопасность.

#ParsedReport #CompletenessLow
15-12-2025

Russian APT actor phishes the Baltics and the Balkans

https://strikeready.com/blog/russian-apt-actor-phishes-the-baltics-and-the-balkans/

Report completeness: Low

Victims:
Government

Industry:
Government

Geo:
Russian, Macedonia, Bosnia and herzegovina, Spain, Bulgaria, Moldova, Montenegro, Ukraine, Lithuania

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204.002, T1566.001, T1585.002

IOCs:
File: 11
Hash: 15

Soft:
Outlook

Languages:
javascript

Links:
https://github.com/StrikeReady-Inc/research/blob/main/2025-12-13%20RU%20phishing/files.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
5 декабря российский актор APT провел кампанию фишинга, нацеленную на руководящий орган Приднестровья, используя подмену электронной почты, чтобы выдать себя за законные организации и запросить конфиденциальную информацию. Эта тактика отражает продолжающиеся киберугрозы со стороны российских акторов, особенно в политически напряженных регионах, и подчеркивает использование фишинга с Вредоносными ссылками или вложениями для получения учетных данных пользователей для дальнейшей эксплуатации. Подобные инциденты подчеркивают продолжающуюся эволюцию киберугроз, усиливающих геополитические конфликты.
-----

5 декабря российский актор сложной целенаправленной угрозы (APT) провел кампанию фишинга, направленную против руководства Приднестровья. Эта кампания включала отправку по электронной почте фишинг-сообщения с учетными данными, которое подделывало Приднестровскую Молдавскую Республику. Электронные письма с фишингом предназначены для того, чтобы выдавать себя за законные источники и обманом заставить получателей раскрыть конфиденциальную информацию, такую как имена пользователей и пароли.

Атака высвечивает продолжающиеся киберугрозы со стороны российских APT-группировок, особенно в таких регионах, как Прибалтика и Балканы. Фишинг остается распространенной тактикой среди этих акторов, использующих вводящие в заблуждение электронные письма, которые часто содержат вредоносные вложения или ссылки, ведущие на мошеннические веб-сайты. Цель состоит в том, чтобы захватить учетные данные пользователей, которые могут способствовать дальнейшим атакам на нацеленные организации.

Этот инцидент является частью более широкой тенденции, в рамках которой российские влиятельные акторы используют геополитическую напряженность, нацеливаясь на институты в соседних регионах. Эти атаки подчеркивают важность повышенной осведомленности о безопасности и бдительности в отношении попыток фишинга, а также необходимость надежной фильтрации электронной почты и обучения пользователей для снижения таких рисков кибербезопасности.

#ParsedReport #CompletenessLow
17-12-2025

Coordinated Credential-Based Campaign Targets Cisco and Palo Alto Networks VPN Gateways

https://www.greynoise.io/blog/credential-based-campaign-cisco-palo-alto-networks-vpn-gateways

Report completeness: Low

Victims:
Network security vendors, Vpn gateways

Industry:
Financial

Geo:
Germany, Pakistan, Mexico

ChatGPT TTPs:
do not use without manual check
T1078, T1110

IOCs:
IP: 11

Soft:
Slack, PAN-OS, Firefox

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания атак на основе учетных данных нацелена на VPN-шлюзы Cisco и Palo Alto Networks, особенно на порталы GlobalProtect, при этом за 16 часов было зафиксировано 1,7 миллиона попыток автоматического входа в систему. При попытке входа в систему использовались обычные имена пользователей и пароли, а отличительный пользовательский агент Firefox предполагал попытку замаскировать автоматизацию. Это указывает на изощренный подход злоумышленников к тому, чтобы избежать обнаружения при попытке несанкционированного доступа к инфраструктурам VPN.
-----

Скоординированная кампания атак на основе учетных данных была нацелена на VPN-шлюзы Cisco и Palo Alto Networks, в частности, на порталы GlobalProtect Palo Alto Networks. GreyNoise сообщила о значительном увеличении числа попыток автоматического входа в систему: за 16 часов было сгенерировано около 1,7 миллиона сеансов, направленных на эмулированные профили GlobalProtect и PAN-OS.

Схема этих попыток входа в систему была довольно единообразной, использовались обычные комбинации имен пользователей и паролей. Многие запросы имели одинаковые характеристики, в первую очередь пользовательский агент Firefox, что нетипично для попыток автоматического входа в систему. Это говорит о том, что злоумышленники, возможно, используют определенный метод, чтобы скрыть автоматизированный характер своих действий, возможно, чтобы избежать обнаружения.

Учитывая характер и масштаб этих атак, специалистам по кибербезопасности следует принять защитные меры для снижения рисков. Рекомендуемые действия включают мониторинг необычного поведения при входе в систему, применение политики надежных паролей и включение Многофакторной аутентификации (MFA) для усиления защиты от попыток несанкционированного доступа. Активно реагируя на эти тактические приемы, организации могут повысить уровень своей безопасности против аналогичных атак на основе учетных данных, нацеленных на инфраструктуры VPN.

#ParsedReport #CompletenessMedium
18-12-2025

HubSpot users targeted by active phishing campaign

https://evalian.co.uk/phishing-campaign-targets-hubspot-users/

Report completeness: Medium

Threats:
Bec_technique
Spear-phishing_technique

Victims:
Hubspot customers

Industry:
Telco

Geo:
Russian, Russia

TTPs:

ChatGPT TTPs:
do not use without manual check
T1071.001, T1190, T1556.003, T1566.002, T1583.001, T1584.004

IOCs:
Url: 2
File: 1
IP: 1

Soft:
HubSpot, Plesk, SendGrid, Salesforce

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1