#ParsedReport #CompletenessHigh
05-03-2026

Aye-Coruna: Tracing the iOS Exploit Kit from Ukraine to Iran War Lures

https://www.validin.com/blog/aye_coruna_ios_exploit_kit_c2/

Report completeness: High

Threats:
Coruna_tool
Watering_hole_technique
Plasmagrid

Victims:
Apple iphone users, Crypto users, General web users

Industry:
Entertainment

Geo:
Iranian, Ukraine, Chinese, Ukrainian, Iran

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1189, T1203, T1204.001, T1583.001, T1584.001, T1584.005, T1608.004

IOCs:
IP: 3
Domain: 307
Hash: 8
Url: 11
File: 1

Wallets:
imtoken, safepal

Crypto:
bitcoin, solana

Algorithms:
sha1

Functions:
JavaScript

Languages:
javascript

Platforms:
apple

YARA: Found

Links:
https://github.com/matteyeux/coruna

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет уязвимостей Coruna, нацеленный на пользователей Apple iPhone и впервые идентифицированный в феврале 2025 года, состоит из пяти цепочек уязвимостей и 23 уязвимостей, затрагивающих версии iOS с 13 по 17.2.1. Изначально связанный с компанией по слежению, он использовался в различных атаках, включая стратегии watering hole против украинских веб-сайтов и схемыcrypto scams. В ходе расследования в области безопасности были выявлены множественные домены командования и управления, многие из которых в настоящее время недоступны, и было установлено, что пакет связан с темами азартных игр и криптовалют, что указывает на разнообразный и развивающийся ландшафт угроз.
-----

Эксплойт-кит, известный как "Coruna", нацеленный на пользователей Apple iPhone, стал заметной угрозой после его обнаружения в феврале 2025 года. Этот набор эксплойтов для iOS включает пять полных цепочек эксплойтов, состоящих из 23 отдельных эксплойтов, которые затрагивают версии iOS от 13 до 17.2.1. Изначально идентифицированный Google Threat Intelligence как инструмент, используемый компанией по наблюдению, Coruna впоследствии был использован в атаке типа watering hole против скомпрометированных украинских веб-сайтов в июле 2025 года. Его использование затем распространилось на китайские мошеннические веб-сайты в операции по извлечению криптовалюты и теперь связано с веб-сайтами на тему войны в Иране, что указывает на широкомасштабную и оппортунистическую эксплуатацию этих уязвимостей.

Расследование по безопасности использовало различные аналитические методы, особенно применяя исторические DNS записи для оценки инфраструктуры, окружающей Coruna. Результаты показали, что многие из доменов командного центра (C2), связанных с набором, в настоящее время были недоступны. В результате, используя исторические захваты DNS, исследователи смогли идентифицировать дополнительные связанные домены, анализируя IP-адреса с низким объемом трафика, которые были разрешены на те же C2 домены. Особенно, IP-адрес 119.8.238.183 был связан с доменами, такими как ztvnhmhm4zj95w3.xyz и v2gmupm7o4zihc3.xyz в начале 2026 года.

Дальнейшее расследование паттернов откликов этих C2 серверов выявило общие черты, разделяемые несколькими доменами. Отклики были отслежены через действительные истории откликов виртуальных хостов, что дало представление об операционных характеристиках инфраструктуры C2. Использование этих откликов позволило обнаружить URL-адреса, которые ранее предоставляли набор инструментов для эксплуатации Coruna, включая доказательства заброшенных URL-адресов, которые ранее размещали iFrames, связанные с эксплойтами.

Интересно, что многие из новоидентифицированных URL-адресов для дропперов отражали темы такие как азартные игры, игры и криптовалюта, при этом включая названия, напрямую связанные с поддержкой Ирана, что говорит о том, что инструмент эксплуатации используется в пропагандистском контексте. Развертывание недавно зарегистрированных доменов, таких как firansupport.cyou и iransupport.cyou, соответствует этой схеме и указывает на возможный сдвиг в стратегиях заманивания, используемых угрозами, что предполагает вероятность вовлечения нескольких актеров в эту кампанию.

Расследовательские усилия culminated в всестороннем анализе YARA-совпадений, которые выявили файлы JavaScript, связанные с набором инструментов эксплойтов. Файлы JavaScript, похоже, были интегрированы с конфигурациями, ведущими к C2-доменам, и демонстрировали поведение, указывающее на использование iframe для загрузки кодов эксплойтов. Исследователи обнаружили 27 уникальных хостов с вредоносным содержимым, связанным со ссылками на ресурсы iframe, что дополнительно подтвердило универсальный характер Coruna exploit kit.

#ParsedReport #CompletenessHigh
04-03-2026

Iranian APT Infrastructure in Focus: Mapping State-Aligned Clusters During Geopolitical Escalation

https://hunt.io/blog/iranian-apt-infrastructure-state-aligned-clusters

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_criminal)
Void_manticore
Apt42
Charming_kitten
Ferocious_kitten
Oilrig

Threats:
Sliver_c2_tool
Tsundere
Credential_harvesting_technique
Tamecat
Spear-phishing_technique
Foudre
Tonnerre

Victims:
Energy, Financial services, Government, Defense, Critical infrastructure, Universities, Policy institutions, Engineering company, Iranian dissidents

Industry:
Critical_infrastructure, Military, Education, Energy, Financial, Government

Geo:
Mena, Iran, Africa, Israel, Iranian, Israeli, Middle east

ChatGPT TTPs:
do not use without manual check
T1059.001, T1071.001, T1090, T1095, T1105, T1204.002, T1566.002, T1566.003, T1583, T1584, have more...

IOCs:
IP: 7
File: 3
Hash: 1
Domain: 12

Soft:
Microsoft Word, WhatsApp, Node.js

Algorithms:
sha256

Languages:
python, javascript, powershell

Links:
https://github.com/stamparm/maltrail/commit/b1746197022348b4cbbdacbc3271f1620f737d0b

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операции кибернетической безопасности, поддерживаемые государством Иран, увеличились в ответ на геополитическую напряженность, сосредотачиваясь на инфильтрации критической инфраструктуры, такой как энергетические и оборонные системы в США и союзных регионах. Акторы, такие как MuddyWater, APT35 и Dark Scepter, используют такие техники, как сетевые вторжения, вредоносное ПО, включая PowerShell-задние двери и дропперы, а также используют государственные почтовые ящики для доставки вредоносного контента. Анализ показывает предпочтение к определенным хостинговым сервисам, что раскрывает потенциал для более глубокого понимания их инфраструктуры и тактики.
-----

Наблюдается увеличение киберопераций, связанных с государственно аффилированными актерами Ирана, нацеленных на критическую инфраструктуру в США и союзных регионах. Киберактивность часто предшествует кинетическим действиям, нарушая связь и ослабляя возможности реагирования. MuddyWater связан с 264 IP-адресами, 432 хостами и 128 SHA-256 хэшами, нацеленными на организации на Ближнем Востоке и в Северной Африке. VoidManticore использует государственные почтовые ящики для доставки вредоносных документов. APT42 использует обратную точку доступа на базе PowerShell, известную как TameCat, против должностных лиц обороны. APT35 рассылает целевые фишинговые сообщения через WhatsApp, а утекшие IOCs указывают на кражу учетных данных, касающуюся военнослужащих. MuddyWater предпочитает хостинг-сервисы такие как NameCheap и Hosterdaddy Private Limited, облегчающие усилия по отслеживанию. IP-адрес MuddyWater был обнаружен с прокси-двойником, что указывает на их зависимость от наступательных инструментов. Были идентифицированы многоступенчатые загрузчики PowerShell, которые собирают дополнительные полезные нагрузки для эксплуатации. Dark Scepter, связанный с APT34 (OilRig), использует Cloudflare для сокрытия своей инфраструктуры управления и контроля. Использование SAN-записей сертификатов может раскрыть детали серверов на заднем плане, скрытые такими сервисами как Cloudflare. Киберугрозы от иранских акторов затрагивают различные сектора, с акцентом на проактивный мониторинг и понимание инфраструктуры для эффективных стратегий защиты.

#ParsedReport #CompletenessHigh
05-03-2026

New BoryptGrab Stealer Targets Windows Users via Deceptive GitHub Pages

https://www.trendmicro.com/en_us/research/26/c/boryptgrab-stealer-targets-users-via-deceptive-github-pages.html

Report completeness: High

Threats:
Boryptgrab
Heaconload
Vidar_stealer
Tunnesshclient
Chromelevator_tool
Apc_injection_technique
Xaitax_tool
Antivm_technique
Antidebugging_technique

Industry:
Entertainment

Geo:
Russia, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1041, T1053.005, T1055, T1057, T1059.005, T1071.001, T1082, T1083, have more...

IOCs:
File: 33
Url: 194
Hash: 1961
IP: 1
Domain: 1

Soft:
PyInstaller, Telegram, Discord, valorant, Microsoft Defender, Windows Defender, Chrome, CentBrowser, Chromium, Google Chrome, have more...

Wallets:
atomicdex, bitcoincore, bitpay, coinomi, mainnet, electron_cash, electrum, exodus_wallet, guarda_wallet, jaxx, have more...

Crypto:
binance, dogecoin, ethereum

Algorithms:
zip, xor, base64, sha256

Functions:
EntryWrapper

Languages:
golang, python

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 1, code: 14, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания BoryptGrab распространяет сложный вредоносный софт для кражи данных, нацеливаясь на пользователей Windows через обманчивые репозитории GitHub, сосредотачиваясь на чувствительных данных, таких как информация о браузере, учетные данные криптовалютных кошельков и токены Discord. Вредоносное ПО использует различные загрузчики, включая заднюю дверь, которая устанавливает обратное SSH-соединение, и применяет продвинутые методы обфускации. Оно специально нацелено на популярные браузеры и приложения для криптовалют, позволяя извлекать данные, обходя механизмы шифрования.
-----

Кампания BoryptGrab включает в себя распространение недавно идентифицированного вредоносного ПО для кражи данных, BoryptGrab, нацеленного на пользователей Windows через обманчивые репозитории GitHub, которые утверждают, что предлагают бесплатное программное обеспечение. Эта кампания сосредоточена на сборе конфиденциальной информации, такой как данные браузера, учетные данные криптовалютных кошельков, информация о системе и токены Discord, а также имеет возможность захвата скриншотов и сбора различных общих файлов. Начальное заражение начинается, когда жертвы загружают ZIP-файлы с мошеннических страниц GitHub, которые используют методы поисковой оптимизации (SEO) для введения пользователей в заблуждение, заставляя их думать, что это легитимные инструменты программного обеспечения.

Малварь демонстрирует значительную инженерную сложность, с кодом, содержащим комментарии на русском языке, что предполагает возможное русское происхождение злоумышленника. Она включает в себя различные вредоносные нагрузки, включая бекдор под названием TunnesshClient, который устанавливает обратное SSH-соединение с атакующим, позволяя выполнять команды через SOCKS5-прокси. BoryptGrab может общаться с сервером злоумышленника через жестко закодированные имена сборок и также наблюдается за затруднением своего кода и динамическим разрешением своих API, используя такие техники, как XOR-шифрование для дополнительного сокрытия.

Ключевые аспекты цепочки атаки включают распространение вредоносных ZIP-файлов, которые могут содержать несколько вариантов загрузчиков, таких как HeaconLoad, еще один загрузчик, написанный на Golang. HeaconLoad достигает постоянства, добавляя себя в реестр и выполняется из запланированных задач, отправляя информацию о системе обратно атакующему. Варианты BoryptGrab также могут загружать Vidar, устоявшегося вора с измененными характеристиками.

В BoryptGrab используется специфическая нацеленность, сосредоточенная на популярных браузерах и приложениях для кошельков криптовалют. Его механизмы сбора данных используют технику обхода шифрования App Bound в Chrome, что позволяет извлекать данные браузера из нескольких источников, включая Yandex и Firefox. Собранная информация архивируется и отправляется обратно на сервер атакующего, иногда с использованием TunnesshClient для дополнительной сокрытости.

#ParsedReport #CompletenessHigh
06-03-2026

An Investigation Into Years of Undetected Operations Targeting High-Value Sectors

https://unit42.paloaltonetworks.com/cl-unk-1068-targets-critical-sectors/

Report completeness: High

Actors/Campaigns:
Cl-unk-1068 (motivation: cyber_espionage, cyber_criminal)

Threats:
Dll_sideloading_technique
Scanportplus_tool
Xnote
Superdump_tool
Mimikatz_tool
Lsarecorder_tool
Dumpit_tool
Volatility_tool
Sliver_c2_tool
Pwnkit_tool
Lolbin_technique
Godzilla_webshell
Antsword
Printspoofer_tool
Synflood_technique
Udpflood_technique
Putty_tool
Chinachopper
Wevtutil_tool
Realvnc_tool
Tightvnc_tool

Victims:
Aviation, Energy, Government, Law enforcement, Pharmaceutical, Technology, Telecommunications, Critical infrastructure

Industry:
Telco, Healthcare, Government, Aerospace, Energy, Critical_infrastructure

Geo:
Asia, Chinese, China

CVEs:
CVE-2023-34048 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware vcenter_server (le5.5, 7.0, 8.0)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)


TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 43
Path: 4
Hash: 30
IP: 7
Command: 1
Registry: 12

Soft:
Linux, SQL Server Management Studio, MSSQL, Local Security Authority, Navicat, WinSCP, Internet Explorer, NetSarang, Microsoft SQL Server Management Studio, Windows Security, have more...

Algorithms:
sha256, base64

Languages:
python, powershell

Platforms:
cross-platform

Links:
https://github.com/fatedier/frp
have more...
https://github.com/BeichenDream/Godzilla/
https://github.com/AntSwordProject

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кластер активности киберугроз CL-UNK-1068, приписываемый вероятному китайскому угрозовому актору, нацеливался на высокоценные сектора в Азии с 2020 года, используя сложный инструментарий с вредоносным ПО, таким как GodZilla и AntSword. Первичный доступ часто достигается через веб-оболочки, что позволяет выполнять латеральные перемещения и эксплуатировать уязвимости SQL-сервера, в то время как разведка производится с использованием инструментов, таких как SuperDump. Группа применяет техники кражи учетных данных и выполняет эскалацию привилегий через уязвимости, включая PwnKit (CVE-2021-4034) и попытки на CVE-2023-34048.
-----

Обширное исследование выявило кластер киберугроз, обозначенный как CL-UNK-1068, который на протяжении длительного времени нацеливался на высокоценные сектора в Южной, Юго-Восточной и Восточной Азии с 2020 года. Эта деятельность приписывается вероятному китайскому угрозообразователю, о чем свидетельствует множество индикаторов, включая происхождение их инструментов, артефакты языка конфигурационных файлов и акцент на кибершпионаже против критической инфраструктуры, такой как правительство, авиация и телекоммуникации.

Технический анализ CL-UNK-1068 показывает сложный набор инструментов, использующий смешение пользовательского вредоносного ПО, модифицированных утилит с открытым исходным кодом и бинарников, использующих уязвимости (LOLBINs). Ключевыми инструментами являются известные варианты вредоносного ПО, такие как GodZilla, AntSword и Fast Reverse Proxy (FRP), что отражает предрасположенность к использованию утилит, популярных в киберсообществах, говорящих на китайском языке. Замечательно, что злоумышленники выполняют побочную загрузку DLL с легитимными исполняемыми файлами Python, что позволяет скрытно выполнять злонамеренные нагрузки, включая скрипты для разведки и сетевого сканирования.

Первоначальный доступ к средам жертв часто осуществляется через веб-оболочки, такие как GodZilla и AntSword, которые позволяют осуществлять боковое перемещение и эксплуатацию уязвимостей на серверах SQL. Атакующие проводят разведку, используя как собственный инструмент под названием SuperDump, так и более современные пакетные скрипты, собирая разнообразную системную информацию, такую как данные пользователей, выполняющиеся процессы и установленное программное обеспечение. Эта информация помогает повышать привилегии и поддерживать устойчивость.

Злоумышленники также используют техники кражи учетных данных, применяя такие инструменты, как Mimikatz и LsaRecorder, для извлечения паролей из памяти. Их операции включают эксфильтрацию чувствительных файлов, таких как резервные копии баз данных и системные конфигурации, часто нацеливаясь на информацию о сохраненных соединениях SQL Server Management Studio. Пакетные скрипты широко используются для задач, начиная от разведки системы и заканчивая очисткой журналов, а также другими антивоенными мерами, предназначенными для сокрытия их деятельности.

Тактики повышения привилегий в CL-UNK-1068 включают использование PrintSpoofer и импланта оболочки Sliver, которые используют потенциальные уязвимости в системных процессах для получения повышенного доступа. Кроме того, злоумышленники выполнили PwnKit (CVE-2021-4034) на системах Linux для достижения локального повышения привилегий, а также пытались эксплуатировать CVE-2023-34048 через скомпилированный Nuitka Python-исполняемый файл, который затрудняет его анализ.

#ParsedReport #CompletenessLow
04-03-2026

The Economics of Clops Zero-Day Campaigns: Why Mass Exploitation Isnt Paying Off

https://www.guidepointsecurity.com/blog/the-economics-of-clops-zero-day-campaigns/

Report completeness: Low

Threats:
Clop
Akira_ransomware
Lemurloot
Qilin_ransomware

Victims:
Managed file transfer providers, Oracle e business suite users, Organizations using accellion fta, Organizations using goanywhere mft, Organizations using moveit transfer, Organizations using cleo mft

Industry:
Financial, Education

CVEs:
CVE-2024-50623 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cleo harmony (<5.8.0.21)
- cleo lexicom (<5.8.0.21)
- cleo vltrader (<5.8.0.21)

CVE-2023-0669 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortra goanywhere_managed_file_transfer (<7.1.2)

CVE-2021-27101 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- accellion fta (le9_12_370)

CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- progress moveit_cloud (<14.0.5.45, <14.1.6.97, <15.0.2.39)
- progress moveit_transfer (<2021.0.7, <2021.1.5, <2022.0.5, <2022.1.6, <2023.0.2)

CVE-2025-61882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle concurrent_processing (le12.2.14)


ChatGPT TTPs:
do not use without manual check
T1059.001, T1105, T1190, T1505.003

Soft:
GoAnywhere, MOVEit, Twitter

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Clop, группа вымогателей данных, активная с 2019 года, фокусируется на похищении данных, а не на шифровании, и использует эксплойты нулевого дня в широко используемых решениях для передачи файлов. Ее кампании включают эксплуатацию уязвимостей SQL-инъекций (CVE-2021-27101, CVE-2023-34362) в Accellion и MOVEit соответственно, а также удаленное выполнение кода через CVE-2023-0669 в Forta GoAnywhere, затрагивая сотни организаций. Хотя Clop успешно нацеливалась на множество систем, ее модель похищения данных привела к более низким финансовым стимулам по сравнению с традиционными тактиками программ-вымогателей, что привело к минимальному числу подтвержденных выплат выкупа.
-----

Clop, также известная как Cl0p, является группой вымогателей данных, которая активна с 2019 года, выделяясь среди других актеров программ-вымогателей в первую очередь своим фокусом на краже данных, а не на прямом шифровании систем. Группа изначально прославилась благодаря эксплуатации нулевых дней уязвимостей в широко используемых решениях для передачи и хранения файлов, что позволяло получать доступ к сетям жертв. Этот стратегический выбор позволил Clop обойти более привычные векторы атак, такие как фишинг, разрешая группе нацеливаться на уязвимости, которые многие организации не распознавали как угрозу.

Замечательные кампании Clop включают в себя эксплуатацию Accellion File Transfer Appliance (FTA) в конце 2020 года и начале 2021 года, где он использовал уязвимость SQL-инъекции (CVE-2021-27101), что привело к компрометации более 300 арендаторов. К началу 2023 года Clop нацелился на программное обеспечение Forta GoAnywhere Managed File Transfer, использовав другую уязвимость нулевого дня (CVE-2023-0669), получив удаленное выполнение кода и повлияв на около 130 жертв. В следствии этого, крупная кампания против MOVEit Secure Managed File Transfer от Progress Software в середине 2023 года использовала другую уязвимость SQL-инъекции (CVE-2023-34362), что привело к выплатам выкупа на сумму более 34 миллионов долларов из шести подтвержденных сделок.

Следующая попытка группы в 2025 году была связана с E-Business Suite (EBS) от Oracle, где они использовали уязвимость CVE-2025-61882, позволяющую удаленное выполнение кода и постоянное развертывание веб-шелла. Clop заявил о доступе к более чем 234 арендаторам EBS и напрямую общался с жертвами через резкие электронные письма, в которых содержались требования о выкупе, превышающие 10 миллионов долларов. Однако, несмотря на многочисленные утверждения о пострадавших организациях, только одна подтвержденная выплата выкупа в размере 3 миллионов долларов была зарегистрирована в рамках этой кампании, что указывает на тревожную рентабельность инвестиций.

Операционная модель Clop, сосредоточенная исключительно на краже данных, резко контрастирует с более разрушительным подходом таких групп-вымогателей, как Akira, которые шифруют критические системы. Этот стратегический сдвиг привел к снижению финансовых результатов для Clop, поскольку жертвы, как правило, воспринимают меньшую срочность в случае утечки данных, чем в случае атак ransomware, которые останавливают операции. Метод Clop использует быстрое использование уязвимостей, но страдает от уменьшенного влияния по сравнению с традиционными тактиками ransomware.

Для организаций, стремящихся защититься от подобных массовых методов эксплуатации, крайне важно внедрить строгие политики хранения данных, списки допустимых IP-адресов и надежные практики управления уязвимостями. Эти меры могут ограничить потенциальный ущерб в случае эксплуатации нулевого дня. Многофакторная аутентификация (MFA) на всех порталах входа и развертывание решений для обнаружения и реагирования на конечных точках (EDR) могут дополнительно укрепить защиту от кражи учетных данных и бокового перемещения внутри сетей, снижая риск успешных кибератак.

#ParsedReport #CompletenessMedium
06-03-2026

CVE-2026-1731: Finding a critical RCE in an age of AI-driven vulnerability research

https://www.intel471.com/blog/cve-2026-1731-finding-a-critical-rce-in-an-age-of-ai-driven-vulnerability-research

Report completeness: Medium

Actors/Campaigns:
Hafnium

Threats:
Simplehelp_tool
Impacket_tool
Interactsh_tool

Victims:
Government, Federal agencies, Beyondtrust customers

Geo:
Chinese

CVEs:
CVE-2024-12356 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- beyondtrust privileged_remote_access (le24.3.1)
- beyondtrust remote_support (le24.3.1)

CVE-2026-1731 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- beyondtrust privileged_remote_access (<25.1)
- beyondtrust remote_support (<25.3.2)


ChatGPT TTPs:
do not use without manual check
T1021.002, T1036, T1046, T1059, T1059.001, T1059.004, T1071.001, T1102, T1105, T1190, have more...

IOCs:
File: 2
Url: 3
Hash: 3
Domain: 7
IP: 4

Soft:
Claude, Active Directory, PsExec

Languages:
powershell, python

Platforms:
intel

Links:
have more...
https://github.com/win3zz/CVE-2026-1731/blob/main/exploit.py
https://github.com/win3zz/CVE-2026-1731/blob/main/README.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-1731 является критической уязвимостью инъекции команд в программном обеспечении BeyondTrust Remote Support и Privileged Remote Access, позволяющей неаутентифицированным удалённым атакующим выполнять произвольные команды операционной системы через уязвимый Bash-скрипт. Эта уязвимость позволяет эксплуатацию без аутентификации, требуя только корректный HTTP-заголовок, и была замечена разработка эксплойтов и активность вскоре после её раскрытия. Акторы угроз используют эту уязвимость, известную своей лёгкостью эксплуатации и значительными системными рисками, включая развертывание инструментов удалённого мониторинга для стойкости и использование PowerShell для дальнейшей системной нумерации.
-----

CVE-2026-1731 является критической уязвимостью внедрения команд операционной системы, затрагивающей программное обеспечение BeyondTrust Remote Support и Privileged Remote Access, которые необходимы для управления доступом привилегированных пользователей. Уязвимость была обнаружена 31 января 2026 года исследователем уязвимостей Hacktron с помощью анализа на основе ИИ; эта уязвимость позволяет неаутентифицированным удалённым атакующим выполнять произвольные команды ОС, что потенциально может привести к полному компромиссу системы и эксфильтрации данных. Недостаток основан на Bash-скрипте "thin-scc-wrapper", который обрабатывает параметр "remoteVersion" во время переговоров клиент-сервер через уязвимую конечную точку WebSocket /nw. Примечательно, что уязвимость может быть использована без аутентификации, требуется только действующий HTTP-заголовок X-Ns-Company, который соответствует конфигурации целевой системы.

Деятельность по эксплуатации началась вскоре после раскрытия уязвимости, с появлением доказательства концепции на GitHub всего через четыре дня. Эта скорость отражает простоту уязвимости, позволяя быстро разрабатывать эксплойты, в том числе используя инструмент websocat для взаимодействия с уязвимым конечным WebSocket. Хотя эксплойты в основном были замечены, использующими безобидные команды, такие как "nslookup", их можно было легко адаптировать для выполнения более вредоносных действий, таких как чтение конфиденциальных файлов или выполнение удаленных оболочек.

После добавления в каталог известных уязвимостей CISA вскоре после раскрытия, CVE-2026-1731 продемонстрировала увеличение активности сканирования, с отчетами от специалистов по безопасности, отмечающими внимание со стороны злоумышленников, включая брокера первоначального доступа на русскоязычном форуме киберпреступности. Привлекательность уязвимости для противников обусловлена обширным развертыванием BeyondTrust и отсутствием требований к аутентификации, что приводит к высокому баллу CVSSv4 9.9 из-за значительных рисков для конфиденциальности, целостности и доступности системы.

Чтобы использовать эту уязвимость, злоумышленники могут манипулировать целевой средой, отправляя специально подготовленные сообщения, которые используют уязвимую логику арифметической оценки внутри затронутого скрипта. Кроме того, после начальных эксплойтов было замечено применение различных операционных техник, включая развертывание инструментов удалённого мониторинга, таких как SimpleHelp, для сохранения доступа в скомпрометированных средах и использование PowerShell для перечисления Active Directory.

Ландшафт исследования уязвимостей меняется с появлением новых инструментов на базе ИИ, усиливающих процесс обнаружения, хотя эти достижения представляют как уязвимости, так и вызовы. Организациям рекомендуется приоритизировать своевременное устранение таких уязвимостей, чтобы снизить риски, связанные с их эксплуатацией.

#ParsedReport #CompletenessLow
04-03-2026

Breaking down a supply chain attack leveraging a malicious Google Workspace OAuth app

https://redcanary.com/blog/threat-detection/google-workspace-oauth-attack/

Report completeness: Low

Actors/Campaigns:
C01wnsypx

Threats:
Supply_chain_technique

Victims:
Chrome extension developers, Facebook ads accounts users

ChatGPT TTPs:
do not use without manual check
T1539

IOCs:
Email: 1
IP: 1
File: 3

Soft:
Chrome, Google Chrome, Gmail

Platforms:
intel

Links:
https://github.com/GAM-team/GAM

#ParsedReport #GeneratedSchema
Generated with GPT-4