#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Andariel - северокорейская преступная хакерская группировка, связанная с Генеральным бюро разведка, специализирующаяся на глобальном кибершпионаже и финансовых операциях, особенно против секторов, представляющих стратегический интерес, таких как оборона и финансы. Их тактика включает использование уязвимостей N-day в приложениях, Целевой фишинг и перемещение внутри компании с помощью сбор учетных записей и таких инструментов, как Mimikatz. Они внедряют сложное вредоносное ПО, включая Maui ransomware и DTrack, для облегчения шпионажа и вымогательства путем поэтапной эксфильтрация данных и манипулирования облачными хранилищами.
-----

Andariel - преступная хакерская группировка, связанная с Генеральным бюро разведка Северной Кореи (RGB) и считающаяся подразделением печально известной группировки Lazarus. Основанная примерно в 2009 году, Andariel переключила свое внимание с региональных потрясений на глобальный кибершпионаж и финансовые операции, в первую очередь нацеливаясь на секторы, имеющие решающее значение для стратегических и экономических интересов Северной Кореи. Сюда входят оборонные подрядчики, фирмы, занимающиеся ядерным инжинирингом, финансовые учреждения и поставщики медицинских услуг, что иллюстрирует гибридный подход, сочетающий сбор разведывательной информации с внедрением программ-вымогателей и кражей криптовалюты.

Andariel отличается не только своими технологическими возможностями, но и структурированной интеграцией в военную разведку Северной Кореи. Он работает под несколькими псевдонимами — Onyx Sleet, Silent Chollima и другими, что указывает на внутреннюю классификацию, а не на независимые организации. Соответствие всеобъемлющим целям, поставленным северокорейским режимом, определяет оперативное поведение Andariel's, которое может варьироваться между шпионажем и финансово мотивированными атаками в зависимости от текущих приоритетов.

Оперативная тактика группы эволюционировала и включает в себя такие сложные методы, как использование уязвимостей N-day в таких приложениях, как Apache Tomcat и Microsoft SharePoint, наряду с Целевой фишинг с использованием специальных приманок, связанных с работой, и атаками на watering hole, нацеленными на интересующие сектора. Оказавшись внутри целевой сети, Andariel использует перемещение внутри компании с помощью сбор учетных записей и методов, которые сводят к минимуму риск обнаружения, используя встроенные инструменты Windows, методы credential Dumping, такие как Mimikatz, и протоколы удаленного доступа, такие как RDP и SSH, для более глубокого проникновения.

В операциях с программами-вымогателями Andariel используются такие штаммы, как Maui, которые используют шифрование AES для каждого файла и методы обфускации для защиты ключей, а также поддерживают двойные операции шпионажа и финансового вымогательства. Кроме того, они внедряют другое сложное вредоносное ПО, в том числе DTrack и TigerRAT, которые помогают в перемещение внутри компании и управление командами. Эксфильтрация данных проводится тщательно, часто с использованием облачных хранилищ, чтобы скрыть передачу украденной информации, с последующим внедрением программ-вымогателей для оказания дополнительного давления на жертв.

Чтобы смягчить потенциальные угрозы, исходящие от Andariel, организациям следует внедрить многоуровневую модель безопасности, ориентированную на управление уязвимостями, многофакторную аутентификацию, сегментацию сети и безопасность конечных точек. Регулярный мониторинг трафика RDP и SMB наряду с поддержанием защищенных автономных резервных копий повышает устойчивость к атакам программ-вымогателей. Динамичный характер операций Andariel's требует активной интеграции разведывательной информации об угрозах и постоянной адаптации к обороне для эффективного противодействия этой постоянной угрозе. Этот комплексный подход необходим для обнаружения, сдерживания и срыва развивающихся кампаний Andariel's.

#ParsedReport #CompletenessHigh
27-02-2026

StegaBin: 26 Malicious npm Packages Use Pastebin Steganography to Deploy Multi-Stage Credential Stealer

https://socket.dev/blog/stegabin-26-malicious-npm-packages-use-pastebin-steganography

Report completeness: High

Actors/Campaigns:
Stegabin (motivation: information_theft)
Contagious_interview
Famous_chollima
Lazarus

Threats:
Steganography_technique
Trufflehog_tool
Dead_drop_technique
Credential_harvesting_technique
Typosquatting_technique
Stegabin_loader

Victims:
Software development, Blockchain developers, Cryptocurrency sector

Industry:
Financial, Media

Geo:
North korea, North korean

TTPs:
Tactics: 5
Technics: 0

IOCs:
Hash: 9
IP: 3
File: 36
Domain: 31
Url: 8
Command: 1

Soft:
VSCode, Linux, macOS, Outlook, curl, Node.js, Chrome, Firefox, Opera, Vivaldi, have more...

Wallets:
metamask, coinbase, keplr

Crypto:
ethereum, binance

Algorithms:
bcrypt, base64, sha256, rc4, aes-256-cbc, xor

Functions:
checkNodeVersion, noEffectEnvCheck, getVSCodeUserDir, getOrCreateEncryptionKey, setInterval, writeEvent, SetWindowsHookEx, getActiveWindowTitle, GetWindowText, eval, have more...

Win API:
GetForegroundWindow, lockfile

Languages:
powershell, python, solidity

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция "StegaBin", атрибутирован с помощью северокорейского кибер-актор FAMOUS CHOLLIMA, связанного с группой Lazarus, включает в себя развертывание 26 вредоносных пакетов npm, которые используют steganography для сокрытия URL-адресов команд и контроля (C2) в доброкачественном тексте. Эта многоэтапная атака позволяет извлекать URL-адреса C2 и загружать полезные данные, зависящие от платформы, включая сложный инструментарий стиллер, предназначенный для сбора учетные данные и конфиденциальные данные из среды разработчиков. Вредоносное ПО использует различные методы закрепление и скрытность, обеспечивая постоянный доступ к компьютерам, подвергшимся компрометация, при этом извлекая информацию с помощью таких модулей, как кейлоггеры и стиллер криптовалютных данных.
-----

Недавняя операция, получившая название "StegaBin", была атрибутирован с северокорейской хакерская группировка, известная как FAMOUS CHOLLIMA, связанная с группой Lazarus. Эта кампания включает в себя развертывание 26 вредоносных пакетов npm, которые используют steganography на уровне символов для маскировки инфраструктуры командования и контроля (C2) в доброкачественном тексте, размещенном на Pastebin. Все эти пакеты, опубликованные под одноразовыми учетными записями в течение двух дней, ссылаются на общий вредоносный файл JavaScript, расположенный по адресу `vendor/scrypt-js/version.js `, который облегчает извлечение URL-адресов C2, закодированных в, казалось бы, невинных эссе по информатике.

Атака использует многоэтапный процесс заражения, при котором выполнение сценария установки npm позволяет извлекать URL-адреса C2, что приводит к загрузке полезных данных оболочки, зависящих от платформы. Инфраструктура размещена в 31 развертывании Vercel, при этом конечная версия RAT подключается к указанному IP-адресу для автоматического развертывания набора инструментов стиллер из девяти модулей, предназначенного для различных элементов среды разработчика компрометация. Модули включают в себя такие возможности, как закрепление VSCode, сбор учетных записей браузера, эксфильтрация Данные из буфера обмена, кража SSH-ключа и репозитория Git, а также использование TruffleHog для секретного сканирования.

Среди изощренных методов, используемых в этой кампании, вредоносные пакеты npm маскируются под законные зависимости, что помогает задержать обнаружение, позволяя приложениям-жертвам компилироваться и нормально функционировать при выполнении скрытых скриптов. Общая архитектура включает в себя серию ложных ответов, маркированные запросы и обширные методы для обеспечения того, чтобы вредоносное ПО сохранялось на компьютерах-жертвах с помощью различных средств, включая искусственное встраивание команд в конфигурацию задач VSCode.

Один из примечательных модулей, кейлоггер и похититель буфера обмена, может фиксировать нажатия клавиш и извлекать конфиденциальные данные, одновременно комментируя события в контексте активного окна, особенно ориентируясь на взаимодействие с браузером. Другой важный модуль обрабатывает кражу криптовалютных данных с помощью запутанного кода, извлекая информацию из популярных расширений кошелька в нескольких операционных системах. Стратегия вымогательства включает сканирование файловых систем на наличие конфиденциальных данных, использование FTP для эффективной массовой загрузки файлов и взаимодействие с компьютерами, подвергшимися компрометация, с помощью интерактивного RAT, который может динамически выполнять команды или фильтровать эксфильтрация на основе определенных шаблонов поиска.

Скрытые операционные методологии и технические тонкости, используемые в этой кампании, демонстрируют явную изощренность в нацеливании на разработчиков в экосистеме npm, использующих широко используемые библиотеки и фреймворк для облегчения широкомасштабной кражи учетных данных и эксфильтрация данных.

#ParsedReport #CompletenessMedium
27-02-2026

APT37's "Ruby Jumper" Uses USB Drives to Breach Networks That Were Never Online

https://www.codeaintel.com/p/apt37s-ruby-jumper-uses-usb-drives

Report completeness: Medium

Actors/Campaigns:
Ruby_jumper (motivation: cyber_espionage)
Scarcruft (motivation: cyber_espionage)
Kimsuky (motivation: cyber_espionage)

Threats:
Restleaf
Snakedropper
Thumbsbd
Virustask
Footwine
Bluelight
Stuxnet

Victims:
Government, Defense, Critical infrastructure operators, Research institutions, International policy organizations

Industry:
Critical_infrastructure, Military, Government

Geo:
North korea, Dprk, Korean

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1036.005, T1053.005, T1055, T1056.001, T1059, T1059.001, T1071.001, have more...

IOCs:
File: 8
Hash: 6
Registry: 1

Soft:
Windows Explorer, Android

Algorithms:
xor

Languages:
ruby, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2025 года APT37 (ScarCruft) запустила кампанию "Ruby Jumper", представив пять новых инструментов вредоносное ПО, предназначенных для взлома сетей с воздушным зазором. Атака начинается с вредоносного ярлыка Windows, который развертывает RESTLEAF, чтобы закрепиться с помощью облачного хранилища, за которым следует SNAKEDROPPER, который устанавливает среду выполнения Ruby, в то время как THUMBSBD обеспечивает скрытую Взаимодействие через съемные носители. Этот сложный автоматизированный подход использует надежные платформы SaaS, повышая уровень угрозы для защищенных сетей.
-----

В декабре 2025 года APT37, также известная как ScarCruft, запустила кампанию "Ruby Jumper", направленную на взлом сетей с воздушным зазором.

В кампании задействованы пять недокументированных инструментов для передачи данных между системами, подключенными к сети вредоносное ПО, и системами с воздушным зазором.

Атака начинается с вредоносного файла ярлыков Windows (.LNK), который запускает сценарий PowerShell, приводящий к двухэтапному загрузчику шелл-кода с использованием 1-байтового ключа XOR для расшифровки.

Первый компонент вредоносное ПО, RESTLEAF, использует жестко закодированные токены OAuth для использования Zoho WorkDrive, создавая файлы с отметками времени для обеспечения оперативной доступности.

RESTLEAF развертывает SNAKEDROPPER, который устанавливает среду выполнения Ruby, замаскированную под USB-утилиту, настраивая закрепление с помощью запланированных задач.

SNAKEDROPPER также удаляет дополнительные двоичные файлы Ruby, содержащие исполняемый шелл-код полезной нагрузки.

THUMBSBD обеспечивает скрытый канал связи, используя USB-накопители в качестве ретранслятора команд, копируя командные файлы в скрытый каталог на компьютере, подвергшемся компрометация.

THUMBSBD позволяет зараженным системам с воздушным зазором извлекать данные обратно на облачный сервер управления (C2).

Вредоносное ПО обманом заставляет пользователей запускать Ruby runtime, создавая скрытые папки, имитирующие законные каталоги Windows.

FOOTWINE служит бэкдором для Windows, замаскированным под Android APK, с такими функциями, как Регистрация нажатий клавиш и дистанционное управление.

Ruby Jumper автоматизирует процесс передачи данных, снижая зависимость от людей-агентов при транспортировке физических устройств.

APT37 использует распространенные платформы SaaS, такие как Zoho и Google Drive, для управления, обходя средства защиты организации.

#ParsedReport #CompletenessHigh
27-02-2026

Unraveling the WSUS Exploit Chain Incident Analysis and Actor Insights

https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_6_shohei_iwata-teruki_yoshikawa_en.pdf

Report completeness: High

Actors/Campaigns:
Dragon_clover (motivation: financially_motivated)
Warlock
Storm-2603
Cl-cri-1040

Threats:
Radmin_tool
Petitpotam_vuln
Efspotato_tool
Cloudflared_tool
Skuld
Atera_tool
Lockbit
Babuk
X2anylock
Toolshell_vuln
Hiddengh0st
Zoho_assist_tool
Mimikatz_tool
Impacket_tool

Victims:
Various organizations, Sharepoint users, Wsus administrators

Geo:
Japan, China

CVEs:
CVE-2023-35317 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_server_2012 (-, r2)
- microsoft windows_server_2016 (-)
- microsoft windows_server_2019 (-)
- microsoft windows_server_2022 (-)

CVE-2025-59287 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_server_2012 (-, r2)
- microsoft windows_server_2016 (<10.0.14393.8524)
- microsoft windows_server_2019 (<10.0.17763.7922)
- microsoft windows_server_2022 (<10.0.20348.4297)
- microsoft windows_server_2022_23h2 (<10.0.25398.1916)
have more...
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 52
Path: 4
Url: 5
Domain: 17
IP: 3
Email: 1
Hash: 6

Soft:
Velociraptor, Visual Studio Code, VSCode, OpenSSH, Windows Service, curl, TightVNC, SharePoint Server, PsExec, Azure Blob, have more...

Wallets:
wassabi

Algorithms:
base64, aes-128-cbc

Functions:
GetCookie, E, CreateFolder, Write-Host, Add

Languages:
golang, powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная атака использовала CVE-2025-59287, критическую уязвимость в Microsoft WSUS, позволяющую выполнять Удаленное Выполнение Кода с системными привилегиями посредством небезопасной десериализации. Атака использовала msiexec для развертывания инструмента Velociraptor для удаленного управления, подключаясь к размещенному в облаке серверу управления. Финансово мотивированная группа DragonClover организовала инцидент, применив дополнительное вредоносное ПО, такое как Skuld Stealer, и используя методы туннелирования, основанные на компрометация сервиса WSUS.
-----

Анализ инцидента выявил сложную атаку, связанную с использованием критической уязвимости в службах обновления Microsoft Windows Server (WSUS), в частности CVE-2025-59287. Эта уязвимость связана с небезопасной десериализацией объектов AuthorizationCookie, позволяющей Удаленное Выполнение Кода (RCE) с системными привилегиями. Атака была инициирована через msiexec, что облегчило загрузку установщика (версия 2.msi), содержащего инструмент Velociraptor, инструмент цифровой криминалистики и реагирования на инциденты (DFIR), который был перепрофилирован для удаленного управления. Velociraptor был настроен для подключения к серверу управления (C2), размещенному на Cloudflare, с использованием домена velo.qaubctgg.workers.dev.

По мере продвижения атаки злоумышленник развертывал дополнительные компоненты, выполняя код Visual Studio (code.exe ) с включенными параметрами туннелирования. Это включало дальнейшее использование msiexec для загрузки дополнительного вредоносное ПО. Доказательства указывают на то, что последовательность атак коренится в службе компрометация WSUS, а журналы EDR показали, что атаки исходили из WsusService.exe процесс. Примечательно, что до выпуска исправления для CVE-2025-59287 уязвимый сервер Windows был запущен, что позволяет предположить, что эксплойт был успешно выполнен до того, как были применены какие-либо защитные меры.

Злонамеренный актор, стоящий за этим инцидентом, был идентифицирован как DragonClover, финансово мотивированная группа, связанная с несколькими псевдонимами, такими как Storm-2603 и Warlock Group. Известно, что DragonClover использует уязвимости в таких платформах, как SharePoint и WSUS. Их тактика включает использование неправильно сконфигурированных систем и развертывание Velociraptor в рамках их деятельности после эксплуатации. Эта группа продемонстрировала характер сетевых и системных вторжений, нацеленных на различные организации во многих странах.

В дополнение к Velociraptor, группа использовала другое вредоносное ПО, такое как Skuld Stealer, для эксфильтрация информации и PowerShell для задач разведка. Поток атак указывал на обширные оперативные методы, включая туннелирование и установку сервиса. Анализ также выявил использование конкретных доменных имен и имен учетных записей, которые использовались в предыдущих инцидентах, что подтверждает причастность к DragonClover.

Таким образом, инцидент не только подчеркивает значительный риск, связанный с CVE-2025-59287, но и высвечивает эволюционирующую тактику злоумышленник, таких как DragonClover, которые продолжают использовать законные инструменты в неблаговидных целях. Организациям следует проявлять повышенную осведомленность и своевременно вносить исправления, чтобы смягчить такие уязвимости и понять последствия их развертывания в облачных средах и средах удаленного управления.

#ParsedReport #CompletenessHigh
27-02-2026

Zerobot Malware Targets n8n Automation Platform

https://www.akamai.com/blog/security-research/2026/feb/zerobot-malware-targets-n8n-automation-platform

Report completeness: High

Threats:
Zerobot
Mirai
Netcat_tool
Socat_tool
Aisuru

Victims:
Internet of things devices, Routers, Workflow automation platforms, Organizations

Industry:
Iot, Critical_infrastructure

CVEs:
CVE-2025-7544 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tenda ac1206_firmware (15.03.06.23)

CVE-2017-9841 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- phpunit_project phpunit (le4.8.27, <5.6.3)

CVE-2025-68613 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- n8n (<1.120.4, <1.121.1)

CVE-2021-3129 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facade ignition (<2.5.2)

CVE-2022-22947 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware spring_cloud_gateway (<3.0.7, 3.1.0)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.004, T1071.001, T1105, T1190, T1562.001, T1587.001, T1588.005

IOCs:
File: 9
IP: 5
Url: 3
Domain: 3
Hash: 10

Soft:
Tenda, curl, Discord, Mac OS

Algorithms:
xor, sha256

Win API:
arc

Win Services:
InfoPath

Languages:
php, perl, python

Platforms:
m68k, mpsl, x86, mips, intel, arm, x64

YARA: Found

Links:
https://github.com/panda666-888/vuls/blob/main/tenda/ac1206/formSetMacFilterCfg.md#poc
have more...
https://github.com/TheStingR/CVE-2025-68613-POC/tree/master

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Продолжающаяся эксплуатация уязвимостей командного ввода CVE-2025-7544 и CVE-2025-68613 нацелена на маршрутизаторы Tenda AC1206 и платформу автоматизации n8n, связанных с вредоносная кАмпания на базе Mirai под названием Zerobot. Это вредоносное ПО извлекает скрипт для установки обновленного варианта Mirai, включающий различные методы атаки и использующий множество ранее выявленных уязвимостей. Кампания использует сочетание методов доставки и исполнения полезной нагрузки, подчеркивая постоянную угрозу, исходящую от менее опытных актор, использующих известные недостатки.
-----

Группа анализа безопасности и реагирования Akamai (SIRT) сообщила о продолжающейся эксплуатации двух уязвимостей для внедрения команд, CVE-2025-7544 и CVE-2025-68613, нацеленных на маршрутизаторы Tenda AC1206 и платформу автоматизации n8n. Эксплуатация, являющаяся частью вредоносная кАмпания на базе Mirai под названием Zerobot, была впервые обнаружена в январе 2026 года, после публичного раскрытия уязвимостей в середине 2025 года. Попытки эксплойта нацелены на устройства Tenda через критическое переполнение буфера на основе удаленного стека, когда ввод 500 символов "A" в параметре deviceList приводит к выполнению произвольного кода через уязвимую конечную точку /goform/setMacFilterCfg. Между тем, CVE-2025-68613 позволяет выполнять Удаленное Выполнение Кода на платформе n8n.

Вредоносное ПО Zerobot извлекает вредоносный сценарий оболочки с именем tol.sh с IP-адреса в США, выполнив его для дальнейшей установки полезной нагрузки Mirai с именем "zerobotv9". В этой версии вредоносное ПО включает поддержку различных архитектур и включает в себя набор методов атаки, отсутствовавших в предыдущих версиях. Примечательно, что в нем используется жестко закодированная область управления 0bot.qzz.io , и включает в себя различные возможности атаки, такие как TCPXmas, Mixamp и SSH. Вредоносное ПО использует множество ранее раскрытых уязвимостей наряду с недостатками Tenda и n8n, включая CVE-2017-9841, CVE-2021-3129 и CVE-2022-22947.

Метод атаки не только включает внедрение команд для получения первоначальный доступ, но также использует netcat, socat и различные методы написания сценариев для управления доставкой и выполнением полезной нагрузки. Эти методы подчеркивают универсальность злоумышленник, нацеленных на недавно выявленные уязвимости, что позволяет им оставаться незамеченными, потенциально используя уязвимости в критически важной инфраструктуре. Несмотря на предыдущие отказы от вариантов Mirai, простота использования известных уязвимостей позволяет менее опытным злоумышленник получать прибыль за счет развертывания ботнет с минимальными инвестициями в исследования и разработки.

Кроме того, для оказания помощи организациям в защите от этого меняющегося ландшафта угроз были предложены IOCS, включающие вышеупомянутые IP-адреса и домены, а также правила YARA для обнаружения потенциального вредоносное ПО Mirai. Недавние выводы подчеркивают настоятельную необходимость того, чтобы организации исправляли уязвимые системы для защиты от дальнейшего использования этих уязвимостей.

#ParsedReport #CompletenessMedium
26-02-2026

What to Know About the Notepad++ Supply-Chain Attack

https://flashpoint.io/blog/what-to-know-about-the-notepad-supply-chain-attack/

Report completeness: Medium

Actors/Campaigns:
Dragonfish

Threats:
Supply_chain_technique
Mitm_technique
Cobalt_strike_tool
Chrysalis
Process_injection_technique

Victims:
Government, Telecommunications, Critical infrastructure, Financial services

Industry:
Telco, Critical_infrastructure, Government

Geo:
Chinese

CVEs:
CVE-2025-15556 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- notepad-plus-plus notepad\+\+ (<8.8.9)


TTPs:
Tactics: 7
Technics: 20

IOCs:
File: 4

Soft:
NSIS installer, Windows Service

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака Notepad++ supply-chain, идентифицированная как CVE-2025-15556, использовала уязвимость в программе обновления WinGUP из-за отсутствия проверки целостности файлов, что позволило злоумышленникам перенаправлять законные запросы на обновление с помощью MitM-атак, доставляя троянские установщики. Связанная с спонсируемой китайским государством группой в кампании "Lotus Blossom", атака проходила в три этапа, используя тактику, подобную развертыванию Cobalt Strike, и дополнительные компоненты, при этом использовались методы уклонения, такие как запутывание и Маскировка. Методы злоумышленник использует те же методы, что и MITRE ATT&CK, включая Выполнение с участием пользователя и process INJECTION.
-----

Атака Notepad++ supply-chain, идентифицированная как CVE-2025-15556, выявляет критический недостаток в компоненте обновления, известном как WinGUP. Эта уязвимость, действовавшая в основном в течение 2025 года, использовала отсутствие проверки подписи целостности файла в загруженных установщиках. Злоумышленникам удавалось перехватывать законные запросы на обновление и перенаправлять их на вредоносные серверы с помощью атак Man-in-the-Middle (MitM) или отравления кэша DNS, в конечном итоге доставляя троянские исполняемые файлы, которые маскировались под действительные исправления программного обеспечения.

Кампания, связанная с этой уязвимостью, получившая название "Lotus Blossom", атрибутирован с помощью изощренной китайской государственной преступная хакерская группировка. Атака разворачивалась в три отдельных этапа с июля по октябрь 2025 года, каждый из которых был направлен на то, чтобы скрыть свое присутствие. Первая цепочка использовала установщик NSIS объемом 1 МБ для инициирования многоэтапной атаки, развернув Cobalt Strike Beacon с помощью ProShow.exe . Во второй цепочке размер установщика был уменьшен до 140 КБ и была включена ротация URL-адресов управление (C2) для повышения скрытности при одновременной доставке шариков Cobalt Strike. Заключительный этап включал удаление дополнительных вредоносных компонентов, таких как BluetoothService.exe и войдите в систему.DLL, что привело к созданию бэкдора Chrysalis.

Тактика, инструменты и процедуры (TTP) кампании Lotus Blossom были сопоставлены с фреймворк MITRE ATT&CK. Известные методы атаки включают Выполнение с участием пользователя Вредоносный файл, перехват потоков выполнения с помощью библиотек DLL и process Injection. Актор угроз использовал методы уклонения, такие как Маскировка и запутывание файловой информации, используя в своих интересах случаи, когда MITRE не хватает конкретных рекомендаций по смягчению последствий.

Чтобы снизить риски, связанные с CVE-2025-15556, организациям настоятельно рекомендуется занять активную позицию. Немедленное действие включает обновление всех экземпляров Notepad++ до версии 8.9.1 или выше, в которой реализована необходимая проверка подписи. Не менее важно проводить аудит системных путей на предмет потенциального закрепление Вредоносный файл и усиливать сетевую защиту для отслеживания трафика, направленного на известные вредоносные домены. Кроме того, для обнаружения несанкционированных входов следует ввести меры по усилению защиты конечных точек, такие как предотвращение поведения и системный аудит.

#ParsedReport #CompletenessLow
26-02-2026

Active Reconnaissance Campaign Targets SonicWall Firewalls Through Commercial Proxy Infrastructure

https://www.greynoise.io/blog/active-reconnaissance-campaign-targets-sonicwall-firewalls-through-commercial-proxy-infrastructure

Report completeness: Low

Threats:
Fog_ransomware
Akira_ransomware
Residential_proxy_technique
Ipidea

Victims:
Sonicwall ssl vpn users, Vpn infrastructure operators, Organizations using sonicwall firewalls

Geo:
Germany, Seychelles, Canadian, Netherlands

CVEs:
CVE-2019-7481 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_100_firmware (<9.0.0.4)

CVE-2021-20028 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_210_firmware (<9.0.0.10-28sv)

CVE-2022-22274 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (le7.0.1-5050)

CVE-2023-0656 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (le7.0.1-5111)

CVE-2024-40766 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (<5.9.2.14-13o)

CVE-2024-53704 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (le7.1.1-7058, 7.1.2-7019)

CVE-2024-38475 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache http_server (<2.4.60)


ChatGPT TTPs:
do not use without manual check
T1036, T1046, T1090, T1110.001, T1583.003, T1595

IOCs:
IP: 7
Domain: 1

Soft:
Slack, SonicOS, Chrome, Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя активность указывает на проведение кампании разведка, нацеленной на инфраструктуру SonicWall SonicOS посредством обширного сканирования, с 84 142 сеансами, исходящими с 4 305 уникальных IP-адресов, нацеленных в первую очередь на одну конечную точку SSL VPN API, имеющую решающее значение для атак на учетные данные. Злоумышленники использовали коммерческие прокси-сервисы для маскировки своей активности, при этом кластеры также проверяли устройства Cisco ASA. Известные уязвимости, в том числе пять уязвимостей SonicWall CVE в списке известных эксплуатируемых уязвимостей CISA, повышают риск эксплуатации, особенно для организаций с открытыми учетные данные VPN.
-----

Недавняя активность, наблюдаемая GreyNoise, свидетельствует о значительной активной кампании разведка, нацеленной на инфраструктуру SonicWall SonicOS посредством обширных сеансов сканирования, в общей сложности 84 142 идентифицированных в период с 22 по 25 февраля 2026 года. Эта активность была прослежена до 4305 уникальных IP-адресов и включала 20 автономных систем, работающих скоординированным образом для перечисления конечных точек VPN. Примечательно, что 92% сеансов сканирования были сосредоточены на одной конечной точке API, предназначенной для проверки состояния конфигурации SSL VPN, что имеет решающее значение для последующих атак с использованием учетных данных.

Кампания использовала коммерческие прокси-сервисы, на долю которых пришлось 32% объема, используя 4102 сменяющихся выходных IP-адреса в течение двух основных пакетов за период кампании. Стратегическое использование этих прокси-серверов демонстрирует эволюцию техники кибератак, позволяющую злоумышленникам эффективно маскировать свои действия. Кроме того, кластеры вторичного сканирования, созданные в Нидерландах, также были нацелен как на устройства SonicWall, так и на устройства Cisco ASA, что указывает на более широкую инициативу, направленную на различные инфраструктуры VPN.

SSL VPN от SonicWall был признан основным средством доступа для атак программ-вымогателей, примером которых являются такие группы, как Akira и Fog, чья тактика обычно заключается в использовании компрометация учетные данные VPN для быстрого проникновения в сеть, что часто приводит к полному шифрованию менее чем за четыре часа. Исторические данные указывают на значительные вторжения, связанные с Akira, которая, как сообщается, сама по себе подвергла компрометация более 250 организаций, что подчеркивает настоятельную необходимость для пользователей SonicWall пересмотреть свои меры безопасности.

Особую озабоченность вызывают пять CVE SonicWall, имеющих отношение к наблюдаемой деятельности по разведка, которые включают уязвимости, занесенные в список известных эксплуатируемых уязвимостей CISA. Эти уязвимости могут послужить шлюзом для злоумышленников, если организации не предпримут упреждающих мер. Описанный здесь этап разведка имеет решающее значение, поскольку он служит предвестником потенциальной эксплуатации, и Microsoft призывает к немедленным действиям по блокировке IP-адресов, исправлению выявленных уязвимостей (в частности, CVE-2024-53704) и применению многофакторной аутентификации для усиления защиты от атак с использованием учетных данных.

Тактика разведка, продемонстрированная на протяжении всей этой кампании, указывает на четкую позицию перед эксплуатацией, а не на непосредственную угрозу эксплуатации. Поскольку 92% трафика направляется на единственную конечную точку, предназначенную для определения активности VPN, организации должны уделять первоочередное внимание защите своих интерфейсов управления, обеспечению ограничения доступа к SSL VPN и применению надежных мер против Подстановка украденных учетных данных, особенно по мере сокращения сроков от разведка до эксплуатации.

#ParsedReport #CompletenessHigh
27-02-2026

From Access to Encryption: Uncovering Qilin's Attack Lifecycle

https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_8_takahiro_takeda_en.pdf

Report completeness: High

Actors/Campaigns:
Spacebears
Scattered_lapsus_hunters (motivation: financially_motivated)
0ktapus
Shinyhunters

Threats:
Qilin_ransomware
Lynx
Safepay
Inc_ransomware
Clop
Ransomhub
Nightspire
Rhysida
Ransomhouse
Kawalocker
Gunra
Devman
Cicada_ransomware
Hunters_international
Fog_ransomware
Deadbolt
D4rk4rmy
Dharma
Cephalus
Cactus_ransomware
Eldorado_ransomware
Royal_ransomware
Blacknevas
Kerberoasting_technique
Mimikatz_tool
Nltest_tool
Shadow_copies_delete_technique
Netscan_tool
Credential_dumping_technique
Pingcastle_tool
Mimik_tool
Chromepass_tool
Netpass_tool
Passview_tool
Teamviewer_tool
Lsadump_tool
Screenconnect_tool
Hrsword_tool
Dark-kill_tool
Truesightkiller_tool
Edr-killer
Powertool_tool
Cobalt_strike_tool
Systembc
Sandbox_evasion_technique
Psexec_tool
Sharpdecryptpwd_tool

Victims:
Manufacturing, Professional scientific and technical services, Wholesale trade, Health care and social assistance, Construction, Finance and insurance, Retail trade, Real estate and rental and leasing, Public administration, Educational services, have more...

Industry:
Financial, Education, Transport, Semiconductor_industry, Retail, Entertainment, Healthcare, Chemical, E-commerce, Foodtech

Geo:
Japan

TTPs:
Tactics: 10
Technics: 2

IOCs:
File: 29
Command: 22
Registry: 7
Coin: 1
Path: 7
IP: 1

Soft:
Telegram, SoftPerfect Network Scanner, Active Directory, AzureAD, PostgreSQL, WinSCP, Navicat, Foxmail, RDCMan, chrome, have more...

Wallets:
onekey

Algorithms:
zip, aes-ctr, base64, rc4

Functions:
Get-WinEvent, Get-Unique, Write-Host, Get-Datacenter, Get-Cluster, Set-Cluster, Get-VMHost

Win API:
ZwTerminateProcess, CryptAcquireContextA, CryptGenRandom, VirtualAlloc, VirtualProtect, CreateThreadpoolWait, SetThreadpoolWait, WaitForSingleObject, CreateEventA

Languages:
swift, powershell

Platforms:
amd64, x64, x86

YARA: Found
SIGMA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4