#ParsedReport #ExtractedSchema

Classified images:
schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT37, северокорейский злоумышленник, запустил кампанию Ruby Jumper, которая использует файлы ярлыков Windows для развертывания многоэтапной стратегии вредоносное ПО, нацеленной на сети с воздушным зазором через съемные носители. Ключевые компоненты вредоносное ПО включают RESTLEAF для первоначального заражения и C2 через Zoho WorkDrive, SNAKEDROPPER для загрузки, THUMBSBD для двунаправленной связи и эксфильтрация данных, а также VIRUSTASK, который маскируется для распространения инфекции. Дополнительные инструменты, такие как FOOTWINE и BLUELIGHT, расширяют возможности наблюдения и выполнения команд, демонстрируя значительную эволюцию тактики за счет использования законных Облачные сервисы в злонамеренных целях.
-----

APT37, связанный с Северной Кореей злоумышленник, запустил кампанию Ruby Jumper в декабре 2025 года. Кампания использует файлы ярлыков Windows (LNK) для развертывания новых инструментов вредоносное ПО: RESTLEAF, SNAKEDROPPER, THUMBSBD и VIRUSTASK. Вредоносное ПО в первую очередь нацелено на сети с воздушным зазором, использующие съемные носители для связи и эксфильтрация данных. Заражение начинается с вредоносного файла LNK, который выполняет команды PowerShell для извлечения полезной нагрузки, включая документ-приманку и исполняемое вредоносное ПО. RESTLEAF - это имплантат первой ступени, использующий Zoho WorkDrive для связи командования и контроля (C2). Он извлекает файл шелл-кода из облака, выполняет его с помощью Внедрение кода в процессы и создает файлы-маяки для подтверждения заражения. SNAKEDROPPER действует как загрузчик, устанавливает среду выполнения Ruby, маскируется под USB-утилиту и обеспечивает закрепление с помощью запланированной задачи. THUMBSBD - это бэкдор, который использует съемный носитель для ретрансляции команд и передачи данных, сбора системной информации и обеспечения выполнения команд. VIRUSTASK распространяет вредоносное ПО, заменяя законные файлы вредоносными ярлыками на съемных носителях, создавая обширные векторы атак. FOOTWINE поставляется позже в виде бэкдора с возможностями Регистрация нажатий клавиш и Захват видеоданных с использованием пользовательского протокола на основе XOR для связи C2. BLUELIGHT облегчает выполнение произвольных команд и полагается на Облачные сервисы для операций C2. Кампания подчеркивает значительные достижения в технологиях APT37's для обхода защиты от воздушного зазора.

#ParsedReport #CompletenessHigh
27-02-2026

Combating the FunNULL Black Market: In-depth Analysis of the RingH23 and MacCMS Poisoning Attack Chain

https://blog.xlab.qianxin.com/exposing-funnull-how-ringh23-maccms-are-poisoning-the-web/

Report completeness: High

Actors/Campaigns:
Funnull (motivation: script_kiddie, propaganda, cyber_criminal, financially_motivated)
Pig_butchering (motivation: cyber_criminal)
Unc3886

Threats:
Ringh23_tool
Badredis2s_tool
Badhide2s_tool
Supply_chain_technique
Auto-color
Dns_tunneling_technique
Iodine_tool
Mitm_technique
Sedexp

Victims:
Cdn providers, Open source software users, Video streaming websites, Website visitors on mobile devices, Goedge cdn nodes, Apple cms users

Industry:
Education, Government, Media

Geo:
China, Philippines, Asia, Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1021.004, T1041, T1059.004, T1071.001, T1071.004, T1090, T1105, T1140, T1190, have more...

IOCs:
Url: 28
Domain: 48
File: 14
Hash: 30
Coin: 1
IP: 26

Soft:
Nginx, Azure Blob, Polyfill, ThinkPHP, MySQL, Chrome, Android, Linux

Wallets:
tron

Crypto:
ethereum

Algorithms:
md5, base64, cbc, xor, aes-128-cbc, aes-cbc, gzip, aes

Functions:
isPc, step1

Win API:
decompress

Languages:
golang, javascript, php

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Преступная хакерская группировка FunNULL в Юго-Восточной Азии усовершенствовала свою тактику, в частности, благодаря атаке RingH23 и MacCMS poisoning, используя загрузчик ELF для развертывания сложного вредоносное ПО. Это включает в себя скрипты udev для закрепление, бэкдор для удаленного управления и модули Nginx для перехвата загрузки, использования узлов управления CDN и путей обновления Apple CMS. Их многоуровневая стратегия атаки использует вредоносный JavaScript для перенаправления пользователей и включает в себя руткит пользовательского пространства для скрытности, демонстрирующий эволюционирующий ландшафт угроз.
-----

FunNULL - преступная хакерская группировка, базирующаяся в Юго-Восточной Азии, известная тем, что прошла путь от мошенничества "pig butchering" до изощренных кибератак. Недавние действия группы включают атаки с отравлением RingH23 и MacCMS. Основное используемое вредоносное ПО - это загрузчик ELF, который запрашивает дополнительную вредоносную полезную нагрузку. Полезная нагрузка состоит из скриптов udev для закрепление, бэкдорных модулей для удаленных команд и модулей Nginx для перехвата загрузки и внедрения JavaScript.

Злоумышленники получают доступ к узлам управления сетью доставки контента (CDN) и развертывают компоненты с помощью удаленных команд на пограничных узлах. Два основных вектора заражения включают в себя отравление пути обновления Apple CMS для внедрения PHP-бэкдор и использование узлов управления GoEdge через SSH для распространения пакета RingH23.

Внедренный вредоносный JavaScript перенаправляет пользователей на вредоносные сайты, используя уязвимости, при этом воздействие затрагивает миллионы людей через основные CDN и легальные веб-сайты. Вредоносное ПО включает в себя продвинутые компоненты, такие как руткит в пользовательском пространстве для скрытия действий и модуль для манипулирования динамическими ссылками во время загрузки страницы. Злоумышленники адаптируют свои стратегии на основе оперативной обратной связи, изменяя поведение на стороне сервера и клиента, запускаемое условно.

Закрепление Udev используется для поддержания заражения при перезагрузках, что иллюстрирует сложность. Группа также перенесла свою инфраструктуру на новые домены, чтобы избежать обнаружения, демонстрируя непрерывную адаптацию к мерам Кибербезопасность. Веб-администраторам рекомендуется проводить тщательную проверку на наличие инфекций в файлах JavaScript и PHP и обеспечивать тщательное устранение бэкдор-систем, чтобы предотвратить повторное заражение.

#ParsedReport #CompletenessLow
27-02-2026

Inside a fake Google security check that becomes a browser RAT

https://www.malwarebytes.com/blog/privacy/2026/02/inside-a-fake-google-security-check-that-becomes-a-browser-rat

Report completeness: Low

Victims:
Consumers, Mobile users, Browser users

ChatGPT TTPs:
do not use without manual check
T1056, T1056.001, T1056.004, T1059.007, T1070.004, T1071.001, T1090, T1102, T1105, T1119, have more...

IOCs:
Domain: 1
Hash: 1
File: 1

Soft:
Android, Chrome, Chromium, Firefox, macOS

Algorithms:
sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Изощренная киберугроза включает в себя веб-сайт-мошенник, имитирующий проверку безопасности Google, функционирующий как Троянская программа удаленного доступа на основе браузера (RAT) и поставляющий вредоносный Android APK. Этот APK-файл, замаскированный под обновление для системы безопасности, запрашивает обширные разрешения для сбора данных и использует методы закрепление, чтобы избежать удаления. Кроме того, компонент браузера действует как HTTP-прокси, позволяя злоумышленникам перехватывать веб-трафик и выполнять произвольный JavaScript, создавая двухуровневую угрозу слежки.
-----

В статье освещается сложная киберугроза, которая включает вредоносный веб-сайт, Маскировка которого осуществляется под проверку безопасности Google, которая в конечном итоге служит в качестве Троянская программа для удаленного доступа на основе браузера (RAT) и предоставляет дополнительную полезную нагрузку для Android. Основной домен управление, google-prism.com , использует CDN Cloudflare для своей инфраструктуры, что усложняет усилия по обнаружению, обычно применяемые против чисто вредоносных сайтов.

При взаимодействии с сайтом жертвы непреднамеренно подвергают себя воздействию вредоносного приложения для Android, замаскированного под важное обновление для системы безопасности. Этот APK-файл запрашивает тревожные 33 разрешения, включая конфиденциальные права доступа, такие как SMS, журналы вызовов, микрофон и контакты, что облегчает всесторонний сбор данных и наблюдение. Примечательно, что APK использует различные стратегии закрепление, такие как регистрация в качестве администратора устройства, установка аварийных сигналов и установка загрузочного приемника. Такая тактика затрудняет удаление, поскольку приложение может автоматически перезапускать свои компоненты в случае прерывания, и оно включает функции, поддерживающие попытки наложения фишинг-кода.

На стороне браузера вредоносное ПО функционирует как HTTP-прокси, позволяя злоумышленникам перехватывать запросы на выборку и выполнять произвольный JavaScript с помощью удаленной команды eval, отправляемой через WebSocket. Это подчеркивает двухуровневый подход атаки - как веб—перехват данных через браузер, так и более глубокое наблюдение с помощью Android-имплантата.

Жертвам настоятельно рекомендуется немедленно предпринять меры по устранению потенциальной угрозы, которые включают проверку на наличие вредоносного PWA на Android, его удаление и отзыв любых опасных разрешений. Рекомендации распространяются на удаление разрешений на уведомления и данных сайта, относящихся к вредоносному домену, в различных браузерах (Chrome, Edge, Firefox и Safari). Для каждого браузера приведены конкретные рекомендации, обеспечивающие тщательное удаление и защиту персональных данных.

В конечном счете, сложность этой угрозы заключается в ее многогранном подходе, который использует как возможности браузера, так и функции мобильных устройств, способствуя широкомасштабному наблюдению и эксфильтрация данных. Постоянная бдительность при управлении разрешениями и мониторинге незнакомых приложений или компонентов браузера имеет решающее значение для снижения риска, создаваемого этим вредоносное ПО.

#ParsedReport #CompletenessMedium
27-02-2026

Dark Web Profile: Andariel

https://socradar.io/blog/dark-web-profile-andariel/

Report completeness: Medium

Actors/Campaigns:
Andariel (motivation: cyber_criminal, financially_motivated, information_theft, cyber_espionage)
Lazarus
Bluenoroff

Threats:
Shatteredglass
Supply_chain_technique
Spear-phishing_technique
Watering_hole_technique
Lolbin_technique
Credential_dumping_technique
Mimikatz_tool
Procdump_tool
Putty_tool
Plink_tool
Stunnel_tool
Dtrack_rat
Process_hollowing_technique
Trurat
Tiger_rat
Earlyrat
Log4shell_vuln
Atharvan
Dora_rat
Dll_sideloading_technique
Durianbeacon
Nukesped_rat
Byovd_technique
Steganography_technique

Victims:
Defense sector, Nuclear engineering firms, Financial institutions, Healthcare providers, Software vendors, Aerospace firms, Telecommunications providers, Semiconductor firms, Engineering companies, Legal sector entities, have more...

Industry:
Aerospace, Government, Energy, Financial, Semiconductor_industry, Military, Telco, Healthcare, Critical_infrastructure

Geo:
Dprk, Asia, Japan, North korea, Korea

TTPs:
Tactics: 10
Technics: 12

IOCs:
File: 4

Soft:
Apache Tomcat, Microsoft SharePoint, WinSCP, 3Proxy

Algorithms:
aes-128, xor, zip, base64

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Andariel - северокорейская преступная хакерская группировка, связанная с Генеральным бюро разведка, специализирующаяся на глобальном кибершпионаже и финансовых операциях, особенно против секторов, представляющих стратегический интерес, таких как оборона и финансы. Их тактика включает использование уязвимостей N-day в приложениях, Целевой фишинг и перемещение внутри компании с помощью сбор учетных записей и таких инструментов, как Mimikatz. Они внедряют сложное вредоносное ПО, включая Maui ransomware и DTrack, для облегчения шпионажа и вымогательства путем поэтапной эксфильтрация данных и манипулирования облачными хранилищами.
-----

Andariel - преступная хакерская группировка, связанная с Генеральным бюро разведка Северной Кореи (RGB) и считающаяся подразделением печально известной группировки Lazarus. Основанная примерно в 2009 году, Andariel переключила свое внимание с региональных потрясений на глобальный кибершпионаж и финансовые операции, в первую очередь нацеливаясь на секторы, имеющие решающее значение для стратегических и экономических интересов Северной Кореи. Сюда входят оборонные подрядчики, фирмы, занимающиеся ядерным инжинирингом, финансовые учреждения и поставщики медицинских услуг, что иллюстрирует гибридный подход, сочетающий сбор разведывательной информации с внедрением программ-вымогателей и кражей криптовалюты.

Andariel отличается не только своими технологическими возможностями, но и структурированной интеграцией в военную разведку Северной Кореи. Он работает под несколькими псевдонимами — Onyx Sleet, Silent Chollima и другими, что указывает на внутреннюю классификацию, а не на независимые организации. Соответствие всеобъемлющим целям, поставленным северокорейским режимом, определяет оперативное поведение Andariel's, которое может варьироваться между шпионажем и финансово мотивированными атаками в зависимости от текущих приоритетов.

Оперативная тактика группы эволюционировала и включает в себя такие сложные методы, как использование уязвимостей N-day в таких приложениях, как Apache Tomcat и Microsoft SharePoint, наряду с Целевой фишинг с использованием специальных приманок, связанных с работой, и атаками на watering hole, нацеленными на интересующие сектора. Оказавшись внутри целевой сети, Andariel использует перемещение внутри компании с помощью сбор учетных записей и методов, которые сводят к минимуму риск обнаружения, используя встроенные инструменты Windows, методы credential Dumping, такие как Mimikatz, и протоколы удаленного доступа, такие как RDP и SSH, для более глубокого проникновения.

В операциях с программами-вымогателями Andariel используются такие штаммы, как Maui, которые используют шифрование AES для каждого файла и методы обфускации для защиты ключей, а также поддерживают двойные операции шпионажа и финансового вымогательства. Кроме того, они внедряют другое сложное вредоносное ПО, в том числе DTrack и TigerRAT, которые помогают в перемещение внутри компании и управление командами. Эксфильтрация данных проводится тщательно, часто с использованием облачных хранилищ, чтобы скрыть передачу украденной информации, с последующим внедрением программ-вымогателей для оказания дополнительного давления на жертв.

Чтобы смягчить потенциальные угрозы, исходящие от Andariel, организациям следует внедрить многоуровневую модель безопасности, ориентированную на управление уязвимостями, многофакторную аутентификацию, сегментацию сети и безопасность конечных точек. Регулярный мониторинг трафика RDP и SMB наряду с поддержанием защищенных автономных резервных копий повышает устойчивость к атакам программ-вымогателей. Динамичный характер операций Andariel's требует активной интеграции разведывательной информации об угрозах и постоянной адаптации к обороне для эффективного противодействия этой постоянной угрозе. Этот комплексный подход необходим для обнаружения, сдерживания и срыва развивающихся кампаний Andariel's.

#ParsedReport #CompletenessHigh
27-02-2026

StegaBin: 26 Malicious npm Packages Use Pastebin Steganography to Deploy Multi-Stage Credential Stealer

https://socket.dev/blog/stegabin-26-malicious-npm-packages-use-pastebin-steganography

Report completeness: High

Actors/Campaigns:
Stegabin (motivation: information_theft)
Contagious_interview
Famous_chollima
Lazarus

Threats:
Steganography_technique
Trufflehog_tool
Dead_drop_technique
Credential_harvesting_technique
Typosquatting_technique
Stegabin_loader

Victims:
Software development, Blockchain developers, Cryptocurrency sector

Industry:
Financial, Media

Geo:
North korea, North korean

TTPs:
Tactics: 5
Technics: 0

IOCs:
Hash: 9
IP: 3
File: 36
Domain: 31
Url: 8
Command: 1

Soft:
VSCode, Linux, macOS, Outlook, curl, Node.js, Chrome, Firefox, Opera, Vivaldi, have more...

Wallets:
metamask, coinbase, keplr

Crypto:
ethereum, binance

Algorithms:
bcrypt, base64, sha256, rc4, aes-256-cbc, xor

Functions:
checkNodeVersion, noEffectEnvCheck, getVSCodeUserDir, getOrCreateEncryptionKey, setInterval, writeEvent, SetWindowsHookEx, getActiveWindowTitle, GetWindowText, eval, have more...

Win API:
GetForegroundWindow, lockfile

Languages:
powershell, python, solidity

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция "StegaBin", атрибутирован с помощью северокорейского кибер-актор FAMOUS CHOLLIMA, связанного с группой Lazarus, включает в себя развертывание 26 вредоносных пакетов npm, которые используют steganography для сокрытия URL-адресов команд и контроля (C2) в доброкачественном тексте. Эта многоэтапная атака позволяет извлекать URL-адреса C2 и загружать полезные данные, зависящие от платформы, включая сложный инструментарий стиллер, предназначенный для сбора учетные данные и конфиденциальные данные из среды разработчиков. Вредоносное ПО использует различные методы закрепление и скрытность, обеспечивая постоянный доступ к компьютерам, подвергшимся компрометация, при этом извлекая информацию с помощью таких модулей, как кейлоггеры и стиллер криптовалютных данных.
-----

Недавняя операция, получившая название "StegaBin", была атрибутирован с северокорейской хакерская группировка, известная как FAMOUS CHOLLIMA, связанная с группой Lazarus. Эта кампания включает в себя развертывание 26 вредоносных пакетов npm, которые используют steganography на уровне символов для маскировки инфраструктуры командования и контроля (C2) в доброкачественном тексте, размещенном на Pastebin. Все эти пакеты, опубликованные под одноразовыми учетными записями в течение двух дней, ссылаются на общий вредоносный файл JavaScript, расположенный по адресу `vendor/scrypt-js/version.js `, который облегчает извлечение URL-адресов C2, закодированных в, казалось бы, невинных эссе по информатике.

Атака использует многоэтапный процесс заражения, при котором выполнение сценария установки npm позволяет извлекать URL-адреса C2, что приводит к загрузке полезных данных оболочки, зависящих от платформы. Инфраструктура размещена в 31 развертывании Vercel, при этом конечная версия RAT подключается к указанному IP-адресу для автоматического развертывания набора инструментов стиллер из девяти модулей, предназначенного для различных элементов среды разработчика компрометация. Модули включают в себя такие возможности, как закрепление VSCode, сбор учетных записей браузера, эксфильтрация Данные из буфера обмена, кража SSH-ключа и репозитория Git, а также использование TruffleHog для секретного сканирования.

Среди изощренных методов, используемых в этой кампании, вредоносные пакеты npm маскируются под законные зависимости, что помогает задержать обнаружение, позволяя приложениям-жертвам компилироваться и нормально функционировать при выполнении скрытых скриптов. Общая архитектура включает в себя серию ложных ответов, маркированные запросы и обширные методы для обеспечения того, чтобы вредоносное ПО сохранялось на компьютерах-жертвах с помощью различных средств, включая искусственное встраивание команд в конфигурацию задач VSCode.

Один из примечательных модулей, кейлоггер и похититель буфера обмена, может фиксировать нажатия клавиш и извлекать конфиденциальные данные, одновременно комментируя события в контексте активного окна, особенно ориентируясь на взаимодействие с браузером. Другой важный модуль обрабатывает кражу криптовалютных данных с помощью запутанного кода, извлекая информацию из популярных расширений кошелька в нескольких операционных системах. Стратегия вымогательства включает сканирование файловых систем на наличие конфиденциальных данных, использование FTP для эффективной массовой загрузки файлов и взаимодействие с компьютерами, подвергшимися компрометация, с помощью интерактивного RAT, который может динамически выполнять команды или фильтровать эксфильтрация на основе определенных шаблонов поиска.

Скрытые операционные методологии и технические тонкости, используемые в этой кампании, демонстрируют явную изощренность в нацеливании на разработчиков в экосистеме npm, использующих широко используемые библиотеки и фреймворк для облегчения широкомасштабной кражи учетных данных и эксфильтрация данных.

#ParsedReport #CompletenessMedium
27-02-2026

APT37's "Ruby Jumper" Uses USB Drives to Breach Networks That Were Never Online

https://www.codeaintel.com/p/apt37s-ruby-jumper-uses-usb-drives

Report completeness: Medium

Actors/Campaigns:
Ruby_jumper (motivation: cyber_espionage)
Scarcruft (motivation: cyber_espionage)
Kimsuky (motivation: cyber_espionage)

Threats:
Restleaf
Snakedropper
Thumbsbd
Virustask
Footwine
Bluelight
Stuxnet

Victims:
Government, Defense, Critical infrastructure operators, Research institutions, International policy organizations

Industry:
Critical_infrastructure, Military, Government

Geo:
North korea, Dprk, Korean

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1036.005, T1053.005, T1055, T1056.001, T1059, T1059.001, T1071.001, have more...

IOCs:
File: 8
Hash: 6
Registry: 1

Soft:
Windows Explorer, Android

Algorithms:
xor

Languages:
ruby, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2025 года APT37 (ScarCruft) запустила кампанию "Ruby Jumper", представив пять новых инструментов вредоносное ПО, предназначенных для взлома сетей с воздушным зазором. Атака начинается с вредоносного ярлыка Windows, который развертывает RESTLEAF, чтобы закрепиться с помощью облачного хранилища, за которым следует SNAKEDROPPER, который устанавливает среду выполнения Ruby, в то время как THUMBSBD обеспечивает скрытую Взаимодействие через съемные носители. Этот сложный автоматизированный подход использует надежные платформы SaaS, повышая уровень угрозы для защищенных сетей.
-----

В декабре 2025 года APT37, также известная как ScarCruft, запустила кампанию "Ruby Jumper", направленную на взлом сетей с воздушным зазором.

В кампании задействованы пять недокументированных инструментов для передачи данных между системами, подключенными к сети вредоносное ПО, и системами с воздушным зазором.

Атака начинается с вредоносного файла ярлыков Windows (.LNK), который запускает сценарий PowerShell, приводящий к двухэтапному загрузчику шелл-кода с использованием 1-байтового ключа XOR для расшифровки.

Первый компонент вредоносное ПО, RESTLEAF, использует жестко закодированные токены OAuth для использования Zoho WorkDrive, создавая файлы с отметками времени для обеспечения оперативной доступности.

RESTLEAF развертывает SNAKEDROPPER, который устанавливает среду выполнения Ruby, замаскированную под USB-утилиту, настраивая закрепление с помощью запланированных задач.

SNAKEDROPPER также удаляет дополнительные двоичные файлы Ruby, содержащие исполняемый шелл-код полезной нагрузки.

THUMBSBD обеспечивает скрытый канал связи, используя USB-накопители в качестве ретранслятора команд, копируя командные файлы в скрытый каталог на компьютере, подвергшемся компрометация.

THUMBSBD позволяет зараженным системам с воздушным зазором извлекать данные обратно на облачный сервер управления (C2).

Вредоносное ПО обманом заставляет пользователей запускать Ruby runtime, создавая скрытые папки, имитирующие законные каталоги Windows.

FOOTWINE служит бэкдором для Windows, замаскированным под Android APK, с такими функциями, как Регистрация нажатий клавиш и дистанционное управление.

Ruby Jumper автоматизирует процесс передачи данных, снижая зависимость от людей-агентов при транспортировке физических устройств.

APT37 использует распространенные платформы SaaS, такие как Zoho и Google Drive, для управления, обходя средства защиты организации.

#ParsedReport #CompletenessHigh
27-02-2026

Unraveling the WSUS Exploit Chain Incident Analysis and Actor Insights

https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_6_shohei_iwata-teruki_yoshikawa_en.pdf

Report completeness: High

Actors/Campaigns:
Dragon_clover (motivation: financially_motivated)
Warlock
Storm-2603
Cl-cri-1040

Threats:
Radmin_tool
Petitpotam_vuln
Efspotato_tool
Cloudflared_tool
Skuld
Atera_tool
Lockbit
Babuk
X2anylock
Toolshell_vuln
Hiddengh0st
Zoho_assist_tool
Mimikatz_tool
Impacket_tool

Victims:
Various organizations, Sharepoint users, Wsus administrators

Geo:
Japan, China

CVEs:
CVE-2023-35317 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_server_2012 (-, r2)
- microsoft windows_server_2016 (-)
- microsoft windows_server_2019 (-)
- microsoft windows_server_2022 (-)

CVE-2025-59287 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_server_2012 (-, r2)
- microsoft windows_server_2016 (<10.0.14393.8524)
- microsoft windows_server_2019 (<10.0.17763.7922)
- microsoft windows_server_2022 (<10.0.20348.4297)
- microsoft windows_server_2022_23h2 (<10.0.25398.1916)
have more...
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 52
Path: 4
Url: 5
Domain: 17
IP: 3
Email: 1
Hash: 6

Soft:
Velociraptor, Visual Studio Code, VSCode, OpenSSH, Windows Service, curl, TightVNC, SharePoint Server, PsExec, Azure Blob, have more...

Wallets:
wassabi

Algorithms:
base64, aes-128-cbc

Functions:
GetCookie, E, CreateFolder, Write-Host, Add

Languages:
golang, powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная атака использовала CVE-2025-59287, критическую уязвимость в Microsoft WSUS, позволяющую выполнять Удаленное Выполнение Кода с системными привилегиями посредством небезопасной десериализации. Атака использовала msiexec для развертывания инструмента Velociraptor для удаленного управления, подключаясь к размещенному в облаке серверу управления. Финансово мотивированная группа DragonClover организовала инцидент, применив дополнительное вредоносное ПО, такое как Skuld Stealer, и используя методы туннелирования, основанные на компрометация сервиса WSUS.
-----

Анализ инцидента выявил сложную атаку, связанную с использованием критической уязвимости в службах обновления Microsoft Windows Server (WSUS), в частности CVE-2025-59287. Эта уязвимость связана с небезопасной десериализацией объектов AuthorizationCookie, позволяющей Удаленное Выполнение Кода (RCE) с системными привилегиями. Атака была инициирована через msiexec, что облегчило загрузку установщика (версия 2.msi), содержащего инструмент Velociraptor, инструмент цифровой криминалистики и реагирования на инциденты (DFIR), который был перепрофилирован для удаленного управления. Velociraptor был настроен для подключения к серверу управления (C2), размещенному на Cloudflare, с использованием домена velo.qaubctgg.workers.dev.

По мере продвижения атаки злоумышленник развертывал дополнительные компоненты, выполняя код Visual Studio (code.exe ) с включенными параметрами туннелирования. Это включало дальнейшее использование msiexec для загрузки дополнительного вредоносное ПО. Доказательства указывают на то, что последовательность атак коренится в службе компрометация WSUS, а журналы EDR показали, что атаки исходили из WsusService.exe процесс. Примечательно, что до выпуска исправления для CVE-2025-59287 уязвимый сервер Windows был запущен, что позволяет предположить, что эксплойт был успешно выполнен до того, как были применены какие-либо защитные меры.

Злонамеренный актор, стоящий за этим инцидентом, был идентифицирован как DragonClover, финансово мотивированная группа, связанная с несколькими псевдонимами, такими как Storm-2603 и Warlock Group. Известно, что DragonClover использует уязвимости в таких платформах, как SharePoint и WSUS. Их тактика включает использование неправильно сконфигурированных систем и развертывание Velociraptor в рамках их деятельности после эксплуатации. Эта группа продемонстрировала характер сетевых и системных вторжений, нацеленных на различные организации во многих странах.

В дополнение к Velociraptor, группа использовала другое вредоносное ПО, такое как Skuld Stealer, для эксфильтрация информации и PowerShell для задач разведка. Поток атак указывал на обширные оперативные методы, включая туннелирование и установку сервиса. Анализ также выявил использование конкретных доменных имен и имен учетных записей, которые использовались в предыдущих инцидентах, что подтверждает причастность к DragonClover.

Таким образом, инцидент не только подчеркивает значительный риск, связанный с CVE-2025-59287, но и высвечивает эволюционирующую тактику злоумышленник, таких как DragonClover, которые продолжают использовать законные инструменты в неблаговидных целях. Организациям следует проявлять повышенную осведомленность и своевременно вносить исправления, чтобы смягчить такие уязвимости и понять последствия их развертывания в облачных средах и средах удаленного управления.