#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Storm-2949, сложный злоумышленник, выполнил многослойную атаку на облачную инфраструктуру, в первую очередь нацеленную на Microsoft 365 и Azure для эксфильтрации конфиденциальных данных. Атака началась с социальной инженерии для компрометации учетных данных Microsoft Entra ID, что позволило получить доступ к облачным ресурсам через легитимные функции управления Azure без традиционного ВПО. Используя пользовательские скрипты для обнаружения каталогов и такие инструменты, как ScreenConnect, для удаленного доступа, злоумышленники манипулировали облачными конфигурациями и проводили масштабную эксфильтрацию данных, уклоняясь от обнаружения.
-----

Storm-2949 — это сложный злоумышленник, связанный с многоуровневой атакой, направленной на облачную инфраструктуру.

Основной целью было похищение конфиденциальных данных из приложений Microsoft 365 и ресурсов Azure.

Атака началась с компрометации учётной записи и переросла в полномасштабное наступление на уровни SaaS, PaaS и IaaS.

Storm-2949 использовал легитимные функции управления Azure для получения доступа к плоскости управления и плоскости данных.

Они выполняли код на виртуальных машинах и получали доступ к таким ресурсам, как Azure Key Vaults, без использования традиционного ВПО.

Атака началась с социальной инженерии учетных данных Microsoft Entra ID у целевых сотрудников с использованием функции восстановления пароля через самообслуживание.

Обнаружение каталогов проводилось через Microsoft Graph API с использованием пользовательского скрипта на Python для выявления высокоценных целей и перечисления учетных записей пользователей.

Конфиденциальные документы были похищены из приложений Microsoft 365, включая OneDrive и SharePoint.

Storm-2949 нацелился на Azure App Services, Azure Key Vaults и базы данных SQL для эксфильтрации конфиденциальных данных.

Атакующие злоупотребили функцией Microsoft.Web/sites/publishxml/action для получения профилей публикации приложений, содержащих конфиденциальные учетные данные.

Они использовали расширение VMAccess для создания бэкдор-аккаунтов и выполнили PowerShell-скрипт, разворачивающий инструмент удалённого доступа ScreenConnect.

Скрипт PowerShell был направлен на уклонение от обнаружения путем отключения средств защиты и маскировки своего присутствия.

Сбор учетных записей с конечных точек и манипулирование конфигурациями облачных сервисов были значимыми компонентами атаки.

Была проведена масштабная эксфильтрация данных с использованием шаблонов, снижающих индикаторы компрометации.

Срабатывания Microsoft Defender были зафиксированы во время атаки, связывая события между различными фазами.

Рекомендации включают обеспечение строгой гигиены учётных данных, применение методов расширенной аутентификации и соблюдение принципа наименьших привилегий в Azure.

Рекомендуется усилить практики мониторинга для отслеживания аномального поведения, указывающего на несанкционированный доступ или перемещение внутри компании.

Мы, вместе с INSECA проводим уже 5 митап для CTI-аналитиков.
Мест осталось совсем мало, спешите зарегаться.

Всем привет 👋.
Инсека и Технологии киберугроз приглашают вас на CTI meetup #5.

🍻 обсуждаем рабочие моменты, делимся опытом
📆 23 мая, 14:00-20:00

📍 Место: Лофт «Москва» по адресу Москва, Берсеневская набережная, 6с3

Программа CTI meetup #5:
Сбор гостей 13:30-14:00
Начало выступлений 14:00

1. Threat Hunting в опенсорсе: злоумышленники используют ИИ, мы тоже, но есть нюанс
Раковский Станислав (руководитель группы Supply Chain Security в Positive Technologies)

2. Хватит «приручать фиды»: что реально работает в телекоме
Елютин Павел (руководитель направления анализа киберугроз, Билайн)
Снежков Александр (эксперт по анализу киберугроз, Билайн)

3. Докладчик уточняется

🍻 Кофе-брейк 15:30-16:00

4. Практический CTI 2.0: добро пожаловать в Cyberpunk. Ну почти.
Мешков Андрей (независимый эксперт)

5. Квиз

✌️17:00-20:00 С вас общение, с нас пиво.
Мы рады будем видеть всех желающих, но к сожалению, количество мест ограничено размерами помещения.

👉🏼 Зарегистрироваться

Ну и на митапе мы презентуем наше первого исследование по киберугрозам за 2025 год.

#SOC #CISO #CISOCLUB #CyberThreatTech

«Ваш TI – это просто дорогой способ ничего не делать»

Вместе с Виталием Евсиковым (Inseca) и Юрием Наместниковым (Yandex Cloud) при поддержке CISOCLUB мы записали жёсткий разговор. Без купюр, без рекламы, только реальные «точки отказа».

Суть: SOC тонет в алертах, CISO не может обосновать бюджет, а бизнес не понимает, зачем платить за Threat Intelligence. Разобрали три главные причины разрыва и как его зашить.

Гости:
- Виталий – технический директор Inseca, руководитель SOC крупной промышленной компании.
- Юрий – руководитель SOC в Yandex Cloud, провайдер услуг для десятков клиентов.
- Николай – генеральный директор и основатель компании Технологии Киберугроз

Кому смотреть обязательно: CISO, руководителям SOC, TI‑аналитикам, интеграторам и всем, кто устал от шума вместо сигнала.

Смотреть запись

#technique

AIMap

Internet-scale discovery and security testing platform for exposed AI agent infrastructure.

https://github.com/BishopFox/aimap

#technique

WafRift

A programmable WAF-evasion engine. Encoding × grammar-aware mutation × HTTP smuggling × content-type confusion × TLS fingerprint rotation — every layer addressable, every winning combination cached. Point it at a WAF and an evolutionary loop (hill-climb / SA / tabu / novelty / MAP-Elites) discovers what bypasses that exact stack, then persists the winners to a per-WAF gene bank so the next scan starts with zero discovery.

https://github.com/santhsecurity/wafrift

#ParsedReport #CompletenessHigh
20-05-2026

Fake Microsoft Teams Campaign Delivers ValleyRAT via NSIS Installer and DLL Sideloading

https://labs.k7computing.com/index.php/fake-microsoft-teams-campaign-delivers-valleyrat-via-nsis-installer-and-dll-sideloading/

Report completeness: High

Actors/Campaigns:
Silver_fox

Threats:
Dll_sideloading_technique
Valleyrat

Victims:
Microsoft teams users

Geo:
China, Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.007, T1027.013, T1041, T1056.001, T1059.001, T1105, T1112, T1115, T1140, T1204.002, have more...

IOCs:
File: 3
Domain: 2
Command: 3
IP: 1
Hash: 3

Soft:
Microsoft Teams, NSIS Installer, Windows Defender, Twitter

Algorithms:
zip, aes, xor

Functions:
SetFileAttributes

Win API:
BcryptDecrypt, CreateThread, GetClipboardData

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 6, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Преступная хакерская кампания использует поддельные сайты распространения Microsoft Teams для развертывания варианта вредоносного ПО ValleyRAT через троянизированный установщик. Установщик применяет подгрузку DLL, используя легитимный GameBox.exe в качестве фасада, при этом размещая загрузчик, вредоносную DLL (utility.dll) и другие двоичные файлы. Вредоносное ПО использует передовые техники уклонения, такие как изменение настроек Windows Defender, отражательная загрузка для избежания обнаружения и поддержание связи с сервером C2 для эксфильтрации конфиденциальных данных, что указывает на связь с хакерской группировкой SilverFox APT.
-----

Выявлена недавняя преступная хакерская кампания, использующая поддельные сайты распространения Microsoft Teams для доставки варианта вредоносного ПО ValleyRAT. Сайты, созданные для того, чтобы максимально имитировать легальную страницу загрузки Microsoft Teams, используют обманные домены, такие как teams-securecall.com и teamszs.com. Пользователи, не подозревающие об опасности, которые скачивают zip-архив, становятся жертвами троянизированного установщика, использующего подгрузку DLL (DLL sideloading) с помощью легитимного исполняемого файла GameBox.exe, разработанного Tencent.

После запуска установщик выступает в роли механизма развертывания, а не выполняет традиционную установку программного обеспечения. Он размещает несколько компонентов, включая загрузчик, вредоносную DLL-библиотеку (utility.dll) и дополнительные двоичные файлы, одновременно помещая на рабочий стол пользователя легитимный установщик Microsoft Teams для маскировки установки вредоносных компонентов. Значительным методом обхода является изменение настроек Windows Defender для игнорирования действий, связанных с ВПО, путем выполнения определенных команд PowerShell, которые добавляют исключения в систему.

Вредоносное ПО также использует техники скрытности, такие как изменение атрибутов файлов для скрытия установленных компонентов и хранение конфигурационной информации в ключах реестра, которые напоминают предыдущие реализации ValleyRAT. Полезная нагрузка, зашифрованная с помощью AES, расшифровывается в памяти во время выполнения, что способствует бесшовному процессу проникновения. Загрузчик использует техники отраженной загрузки для выполнения вредоносного ПО без создания обнаруживаемых файлов на диске.

Анализ сетевой коммуникации показывает, что ВПО поддерживает исходящие TCP-соединения с сервером управления (C2), что обеспечивает двустороннюю передачу данных. Оно собирает конфиденциальную информацию, включая нажатия клавиш и данные из буфера обмена, которые логируются для последующей эксфильтрации на C2. Модульная природа ВПО позволяет злоумышленнику динамически обновлять полезную нагрузку, повышая её эффективность в различных кампаниях.

Ключевые индикаторы компрометации (IOCs), связанные с этой кампанией, включают zip-файл (98653.2.87.teamsx.zip), utility.dll и зашифрованный файл user.dat. Кампания демонстрирует использование социальной инженерии, сложных тактик уклонения и многоэтапного развертывания ВПО, подчеркивая четкий фокус злоумышленников на скрытности и закреплении, которые, как полагают, связаны с хакерской группировкой SilverFox APT.

#ParsedReport #CompletenessLow
20-05-2026

New VoidStealer Trojan bypasses Chrome’s stored data protection

https://www.kaspersky.com/blog/chrome-application-bound-encryption-bypass-voidstealer/55735/

Report completeness: Low

Threats:
Voidstealer
Meduza
Lumma_stealer
Whitesnake_stealer
Lumar
Poverty_stealer
Clickfix_technique

Victims:
Chrome users, Windows users, Chromium based browser users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1005, T1539, T1555.003

Soft:
Chrome, Google Chrome, Microsoft Edge, Opera, Vivaldi

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VoidStealer — это новый стиллер-троян, который обходит App-Bound Encryption (ABE) в Chrome для извлечения конфиденциальных пользовательских данных, в частности сохраненных сеансовых файлов cookie и учетных данных. Он использует момент, когда мастер-ключ шифрования находится в памяти в виде открытого текста, применяя технику отладчика для приостановки выполнения браузера и доступа к этому ключу. Архитектура вредоносного ПО построена по модели ВПО как услуга, что делает его более доступным для злоумышленников и подчеркивает наличие уязвимостей, несмотря на достижения в области безопасности.
-----

Троян VoidStealer — это недавно обнаруженный стиллер, использующий сложную технику для обхода привязанного к приложению шифрования (App-Bound Encryption, ABE) в Chrome, что позволяет ему красть конфиденциальные данные пользователей. Эта возможность позволяет VoidStealer атаковать сохраненные сеансовые файлы cookie и учетные данные, которые должны были быть защищены мерами безопасности Chrome, разработанными для защиты от несанкционированного доступа, особенно с уже скомпрометированных систем.

ABE, представленная Google в июле 2024 года с версией Chrome 127, была разработана для усиления защиты данных путем привязки шифрования к конкретному приложению — в данном случае к Chrome. Она использует отдельный сервис для защиты мастер-ключа, необходимого для расшифровки конфиденциальной информации. Цель заключалась в том, чтобы предотвратить доступ инфостилеров к защищенным данным, даже если ВПО работает с привилегиями пользователя. Однако авторы ВПО постоянно находят способы обойти эти защиты, что указывает на сохранение уязвимостей.

Метод VoidStealer использует момент, когда мастер-ключ существует в виде открытого текста в памяти браузера. Это происходит, когда Chrome расшифровывает данные для операционного использования, например, при входе на веб-сайты. VoidStealer прикрепляется к Chrome в качестве отладчика, что позволяет ему контролировать выполнение программы. Когда происходит процесс расшифровки, вредоносное ПО устанавливает точку останова, замораживая выполнение браузера, что предоставляет ему доступ к мастер-ключу напрямую из оперативной памяти (RAM).

Эта тактика отражает более широкую тенденцию: разработчики ВПО быстро адаптируются к мерам безопасности. До появления VoidStealer другие инфостилеры, включая Meduza, Whitesnake и Lumma Stealer, уже заявляли о возможности обхода ABE, что демонстрирует непрерывный цикл адаптации и контр-адаптации между разработчиками вредоносного ПО и исследователями безопасности.

Кроме того, архитектура VoidStealer работает по модели ВПО как услуга, что облегчает её развертывание менее квалифицированными злоумышленниками. Это повышает риск массовых атак, поскольку вредоносное ПО можно арендовать, а не разрабатывать собственные решения. Учитывая растущую сложность таких угроз, полагаться исключительно на встроенные функции безопасности недостаточно для предотвращения утечек данных. Пользователям рекомендуется избегать установки программного обеспечения из непроверенных источников, обновлять операционные системы и использовать надежные инструменты управления паролями вместо хранения конфиденциальной информации непосредственно в браузерах, таких как Chrome.

#ParsedReport #CompletenessLow
19-05-2026

Popular Go Decimal Library Targeted by Long-Running Typosquat with DNS Backdoor

https://socket.dev/blog/popular-go-decimal-library-typosquat-dns-backdoor

Report completeness: Low

Actors/Campaigns:
Boltdb-go

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Software development, Financial services, Billing, Cryptocurrency, Analytics, Continuous integration

TTPs:
Tactics: 4
Technics: 6

IOCs:
Domain: 2
File: 7
Hash: 4

Wallets:
metamask

Algorithms:
sha256, zip, md5, sha1

Functions:
init, main, CombinedOutput

Links:
https://socket.dev/go/package/github.com/shopsprint/decimal?version=v1.3.3
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный модуль Go, маскирующийся под легитимную библиотеку shopspring/decimal, был использован для создания канала управления с помощью DNS TXT-записей. Активный с 2017 года и модифицированный в августе 2023 года, он включает троянизированную функцию init(), которая каждые пять минут опрашивает жестко заданный домен DNS для выполнения команд. Это представляет значительные риски, позволяя выполнять несанкционированные команды в средах, импортирующих скомпрометированную библиотеку, без вызова предупреждений из-за неограниченного кэширования версий модулей.
-----

Вредоносный Go-модуль с именем github.com/shopsprint/decimal имитирует легитимную библиотеку shopspring/decimal.

Этот тайпсквотинг-инструмент активен с 8 ноября 2017 года и был вооружён 19 августа 2023 года с выпуском версии v1.3.3.

Версия v1.3.3 содержит вредоносную функцию init(), которая устанавливает канал управления (C2) через DNS TXT-записи к домену, контролируемому злоумышленником.

Модуль использует бесплатный провайдер динамической DNS для своей инфраструктуры C2.

Вредоносная версия сохраняет публичный API и функциональность легитимной библиотеки, одновременно внедряя полезную нагрузку, которая выполняет команды через DNS TXT-записи.

Заражённое программное обеспечение опрашивает вредоносную DNS-запись каждые пять минут для выполнения полученных команд в скрытом режиме.

Изменения в версиях v1.3.2 и v1.3.3 включают дополнительные импорты (net, os/exec и time), цикл C2 в горутине и нефункциональную функцию main() для маскировки.

Встроенный домен C2 — dnslog-cdn-images.freemyip.com, который разрешается в поддельный IP-адрес.

Использование DNS TXT-записей помогает злоумышленнику избегать обнаружения, которое обычно сосредоточено на HTTP-трафике.

Разработчики, загрузившие вредоносную версию, не получали бы предупреждений, поскольку Go Module Proxy кэширует все версии модулей неограниченно долго.

Заражение позволяет выполнять широкие команды с теми же правами пользователя, что создает риск компрометации учетных данных и токенов доступа в таких средах, как конвейеры CI/CD.

Разработчикам рекомендуется провести аудит зависимостей на наличие опечатанного модуля и заменить его на легитимный.

Командам безопасности следует отслеживать вредоносные DNS-запросы и ограничивать исходящий трафик на скомпрометированные домены, а также сканировать кэши модулей Go на наличие вредоносных зависимостей.

#ParsedReport #CompletenessMedium
20-05-2026

Tracking TamperedChef Clusters via Certificate and Code Reuse

https://unit42.paloaltonetworks.com/tracking-tampered-chef-clusters/

Report completeness: Medium

Actors/Campaigns:
Cl-cri-1089
Cl-unk-1090
Cl-unk-1100

Threats:
Tamperedchef
Evilai
Appsuite
Justaskjacky
Residential_proxy_technique
Bloat_technique

Victims:
Global users, Productivity software users, Israel, United states

Industry:
Government, Logistic, E-commerce, Media, Healthcare, Education, Iot

Geo:
Israeli, Malaysia, Malaysian, Singapore, Ukraine, Ukrainian, Israel, Togo

ChatGPT TTPs:
do not use without manual check
T1027, T1027.010, T1033, T1036, T1041, T1053.005, T1082, T1090, T1105, T1204.002, have more...

IOCs:
Url: 1
File: 2
Domain: 2
Hash: 2

Soft:
CrystalPDF, DocuFlex, Neutralinojs, 7zSFX, PDFPrime, SwiftNav, RapiDoc, RapiDoc RapiDoc, PAN-OS

Wallets:
harmony_wallet

Algorithms:
zip, sha256

Platforms:
x64