#ParsedReport #CompletenessHigh
21-05-2026

Ghost CMS Mass Compromised via CVE-2026-26980, Now Fueling ClickFix Attacks

https://blog.xlab.qianxin.com/ghost-cms-mass-compromised-via-cve-2026-26980-now-fueling-clickfix-attacks/

Report completeness: High

Threats:
Clickfix_technique
Ghost_admin
Fakecaptcha_tool
Cloaking_technique
Adspect_tool
Putty_tool
Aeternum

Victims:
Ghost cms sites, Universities, Blockchain, Ai and saas, Security research, Media, Fintech

Industry:
Healthcare, Entertainment, E-commerce, Retail, Education, Financial, Software_development, Transport, Foodtech, Religion

CVEs:
CVE-2026-26980 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ghost (<6.19.1)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.003, T1059.007, T1071.001, T1105, T1189, T1190, T1204.004, T1213, T1547, have more...

IOCs:
File: 21
Domain: 16
Url: 20
Command: 6
Path: 2
Hash: 7
IP: 1

Soft:
Electron

Algorithms:
sha1, md5, zip, xor, base64

Functions:
setTimeout, setLoginItemSettings

Languages:
php, javascript, rust

Links:
https://github.com/ubergrape/grape-electron?ref=blog.xlab.qianxin.com

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 5, code: 14, dump: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2026 года атака на Ghost CMS использовала уязвимость SQL-инъекции CVE-2026-26980, что позволило злоумышленникам получить доступ к конфиденциальной информации базы данных, включая ключи Admin API. Эта эксплуатация привела к масштабной манипуляции контентом на 700 доменах, где вредоносный JavaScript внедрялся для организации мошеннических схем ClickFix с использованием замаскированных доменов для уклонения от обнаружения и применения сложных тактик социальной инженерии. Злоумышленники также продемонстрировали адаптивные стратегии, при этом последующие атаки со стороны различных групп были направлены на использование аналогичных уязвимостей для перемещения (lateral movements) внутри затронутых систем.
-----

7 мая 2026 года было выявлено масштабное нападение на Ghost CMS, в ходе которого использовалась уязвимость SQL-инъекции CVE-2026-26980. Эта критическая уязвимость позволяла злоумышленникам без аутентификации получать доступ к содержимому базы данных, включая ключи Admin API. Используя эти ключи, атакующие изменяли статьи на затронутых сайтах, вставляя вредоносный JavaScript, что способствовало проведению атак ClickFix — мошеннических попыток обманом заставить пользователей выполнять вредоносные команды локально под видом процессов человеческой верификации, имитирующих механизмы защиты Cloudflare.

Атака состояла из нескольких этапов, начиная с проникновения и модификации контента на более чем 700 доменах, включая такие известные учреждения, как Гарвард и Оксфорд, что указывает на широкую кампанию, а не на целевое проникновение. Злоумышленники использовали домен-обманку, размещенный на Cloudflare, для первоначального распространения вредоносного контента, который они впоследствии обновляли для уклонения от обнаружения. Этот переход домена продемонстрировал, как злоумышленники адаптировали свои стратегии для поддержания операционной непрерывности без существенного противодействия со стороны служб обнаружения.

В ходе расследования внедренного вредоносного JavaScript выявило использование сложных методов для извлечения и выполнения скриптов с удаленных серверов, а также навигации по взаимодействиям пользователей через тактики социальной инженерии, замаскированные под запросы подтверждения. Злоумышленники спроектировали свой код так, чтобы он выполнялся с минимальным вниманием со стороны пользователя, используя функции, которые задерживали загрузку до тех пор, пока пользователь не взаимодействовал со страницей, тем самым обходя немедленное обнаружение.

Механизмы доставки полезной нагрузки включали несколько типов файлов, среди которых выделялись установщик с действительным сертификатом и вредоносное приложение на базе Electron. Выпущенные образцы выглядели безобидно при беглом осмотре, но содержали возможности для закрепления, позволяющие злоумышленникам сохранять контроль над зараженными системами путем выполнения произвольных команд через регулярные промежутки времени.

Кроме того, в ходе исследования было выявлено, что несколько сайтов подвергались последующим атакам со стороны различных групп, что демонстрирует конкуренцию среди злоумышленников, стремящихся использовать уязвимости, оставшиеся в установках Ghost CMS. Эти атаки не только представляли угрозу для напрямую скомпрометированных сайтов, но и распространялись на любую связанную инфраструктуру, поскольку захваченные учетные данные могли способствовать латеральному перемещению внутри экосистем жертв.

В заключение, инцидент подчеркивает важность своевременного обновления для известных уязвимостей и демонстрирует разнообразие ТТП (тактик, техник и процедур), используемых киберпреступниками. Организациям, использующим Ghost CMS, настоятельно рекомендуется незамедлительно выполнить обновление и провести тщательные проверки безопасности для снижения рисков, связанных с этим и потенциально аналогичными угрозами в будущем.

#ParsedReport #CompletenessHigh
21-05-2026

UAC-0244 / UAC-0247: Malware Targeting FPV drone operators

https://blog.synapticsystems.de/uac-0247-malware-targeting-fpv-operators/

Report completeness: High

Actors/Campaigns:
Uac-0244

Victims:
Fpv drone operators, Military, Defense sector

Industry:
Military

Geo:
Ukrainian, Russian, Ukraine

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.007, T1053.005, T1055, T1059.001, T1059.003, T1059.007, T1105, T1140, T1204.002, have more...

IOCs:
Hash: 5
IP: 1
Domain: 1
File: 12
Command: 7
Url: 6
Path: 1

Soft:
curl, Windows Search

Algorithms:
zip, lznt1, sha256, base64, md5, xor, crc-32

Functions:
_0x2ef8, function, _0x151a

Win API:
NtOpenProcess, NtAllocateVirtualMemory, NtWriteVirtualMemory, NtProtectVirtualMemory, NtCreateThreadEx, NtWaitForSingleObject, LdrLoadDll, NtFreeVirtualMemory, RtlDecompressBuffer, inet_addr, have more...

Win Services:
WebClient

Languages:
powershell, javascript

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кластеры угроз UAC-0244 и UAC-0247 нацелены на операторов дронов в Украине, используя сложную вредоносную кампанию, которая начинается с вредоносного LNK-файла, ведущего к HTA-файлу, развертывающему зашифрованный JavaScript-дроппер. Этот дроппер загружает дополнительные полезную нагрузку и создает запланированные задачи для закрепления, применяя передовые техники обфускации, включая разрешение API по хешу и использование закодированных полезной нагрузки. Дизайн вредоносного ПО отражает структурированный подход к поддержанию управления на различных этапах атаки.
-----

Кластеры угроз UAC-0244 и UAC-0247 связаны с кибердеятельностью, направленной на операторов дронов, имеющих отношение к Украине. Эти кластеры приписываются одним и тем же акторам, которые сосредоточены на вредоносной кампании, использующей ряд тактик для получения доступа к системам Windows. Процесс заражения обычно начинается с файла LNK, который эксплуатирует цепочку, ведущую к вредоносному файлу HTA. Этот файл HTA выполняет легковесный, обфусцированный JavaScript-дроппер, использующий ActiveX, основной целью которого является снижение эффективности обнаружения при статическом анализе. Он выполняет такие операции, как загрузка дополнительных полезной нагрузки с использованием встроенных команд Windows, таких как cmd и curl.

Дроппер классифицируется как стадийный развертыватель (stage-0 deployer); он загружает основной полезный груз с указанного URL, декодирует его с помощью XOR и сохраняет как исполняемый файл в подкаталоге, предназначенном для закрепления (persistence) в %LOCALAPPDATA% с именем OneDriveUpdater. Кроме того, дропперы создают запланированные задачи для регулярного выполнения, тем самым обеспечивая непрерывную работу даже после перезагрузки системы.

С точки зрения поведения ВПО, последующие итерации загрузчика (например, в разных версиях HTA) демонстрируют вариации в структуре скрипта, такие как использование внешних ресурсов JavaScript для повышения скрытности и ограничения телеметрии PowerShell, что помогает ВПО избегать типичных методов обнаружения, связанных с PowerShell.

Использование кодирования внутри полезной нагрузки в сочетании с техникой внедрения подчеркивает сложность ВПО. Shellcode, находящийся в сегменте .data внешнего исполняемого файла (PE), не предоставляет напрямую стандартный PE, а вместо этого выдает вложенный загрузчик. Этот загрузчик впоследствии разрешает API по хешу, что указывает на продвинутый уровень обфускации и структурированную методологию поддержания управления над зараженными системами.

Весь процесс определяется моделью цепочки IIM (Intelligence, Infrastructure, Malware), которая описывает роли компонентов от этапа проникновения, подготовки, доставки полезной нагрузки до механизмов управления. Этот комплексный подход помогает понять взаимосвязь различных этапов работы ВПО, выявляя как структуру, так и возможность замены её инфраструктуры.

#ParsedReport #CompletenessHigh
21-05-2026

Inside the JDownloader Supply-Chain Attack: An r77 Rootkit Bot That Kills Your Antivirus

https://www.gendigital.com/blog/insights/research/inside-the-jdownloader-supply-chain-attack

Report completeness: High

Threats:
R77rk_tool
Supply_chain_technique
Dead_drop_technique
Pyarmor_tool
Amsi_bypass_technique
Icarus
Reflective_dll_injection_technique
Dll_injection_technique
Process_injection_technique

Victims:
Jdownloader, Software users, Hospitality

Industry:
Financial

Geo:
Sri lanka, Ghana

TTPs:
Tactics: 3
Technics: 10

IOCs:
Path: 2
File: 15
Registry: 3
Url: 9
Domain: 3
IP: 3
Hash: 10

Soft:
JDownloader, Windows Defender Application Control, Windows Defender, Windows security, Linux, winlogon, Windows service, Linux PyInstaller, Windows installer

Algorithms:
rc4, sha256, rsa-2048, xor, aes-256, aes-256-gcm, aes-gcm

Functions:
r77_hide_self, r77_hide_registry_path

Win API:
WaitForSingleObject, AmsiScanBuffer

Win Services:
AvastSvc, MsMpEng, SecurityHealthService

Languages:
powershell, php, python

Platforms:
x86, cross-platform

Links:
https://github.com/bytecode77/r77-rootkit
https://github.com/avast/ioc
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на цепочку поставок JDownloader, начавшаяся 6 мая 2026 года, включала компрометацию официального сайта JDownloader, что привело к распространению троянизированных установщиков, содержащих руткит r77 и Python-бота с продвинутыми техниками уклонения, отключающими антивирусное программное обеспечение. Руткит обходит методы обнаружения, поддерживает закрепление через модификации реестра и использует резолверы мертвых капель для коммуникаций управления, зашифрованных с помощью RSA и AES. Атака нацеливалась на скомпрометированные сайты бронирования отелей, демонстрируя использование известных уязвимостей инфраструктуры.
-----

Атака на цепочку поставок JDownloader, начавшаяся 6 мая 2026 года, включала компрометацию официального сайта JDownloader, что привело к распространению троянизированных установщиков. Эти вредоносные установщики содержали сложный многокомпонентный полезный груз, включающий руткит r77, Python-бота и продвинутые техники уклонения для отключения антивирусного программного обеспечения. Атакующие внедрили политику Windows Defender Application Control (WDAC), которая блокировала 50 исполняемых файлов безопасности, сделав основные средства защиты от антивирусов неработоспособными после перезагрузки.

Когда пользователь попытался запустить неподписанный установщик, замаскированный вместе с легитимной версией JDownloader и требующий обхода Windows SmartScreen, вредоносное ПО выполнило свой полезный код. Он начинался с конфигурации бота, записанной в реестр в шестнадцатеричном формате с шифрованием RC4, что позволяло ему устанавливать связь с серверами управления (управление) через механизм, известный как dead-drop resolvers. Это легитимные веб-страницы, используемые для публикации зашифрованных адресов C2. Если инфраструктура C2 бота была нарушена, он мог получить новые адреса C2 с этих страниц.

Бот, защищённый PyArmor v9 для обфускации, выполнял произвольный Python-код, полученный с C2-сервера после регистрации. Его коммуникация опиралась на протоколы сильной шифрования, используя RSA и AES, что затрудняло отслеживание и перехват. Бот был разработан для поддержания операций жизненного цикла, таких как управление конфигурацией, выполнение команд и интеграция руткита.

Сам руткит r77 обладает несколькими возможностями: он обходит интерфейс сканирования Antimalware (AMSI), выполняет отражённую инъекцию DLL для скрытия процессов и артефактов, а также обеспечивает закрепление через модификации реестра и создание служб. Особо примечательной была его способность скрывать связанные процессы от стандартного диспетчера задач и инструментов проверки реестра путём добавления специального символа в начало имён.

Обнаруженные C2-серверы были связаны с скомпрометированными сайтами бронирования отелей, что указывает на целевую стратегию, использующую известные уязвимости инфраструктуры в программном обеспечении с открытым исходным кодом. Как C2, так и серверы подготовки (staging) работали на идентичных системах, что подчеркивает использование злоумышленниками согласованных методов развертывания. Общая архитектура вредоносного ПО включала различные сложные техники, затрудняющие стандартное обнаружение и устранение угроз, что закрепляет за ним статус значимой угрозы в сфере атак на Цепочку поставок.

#ParsedReport #CompletenessLow
21-05-2026

Misconfigured, Enrolled and Dormant: Anatomy of a P2Pinfect Kubernetes Compromise

https://www.fortinet.com/blog/threat-research/misconfigured-enrolled-and-dormant-anatomy-of-a-p2pinfect-kubernetes-compromise

Report completeness: Low

Threats:
P2pinfect
Metro4shell_vuln
Redishell_vuln
React2shell_vuln
Kryptik

Victims:
Kubernetes environments, Redis servers, Google kubernetes engine clusters, Cloud environments

CVEs:
CVE-2022-0543 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- redis (-)

CVE-2025-11953 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- react-native-community react_native_community_cli (<19.1.2, 18.0.0, 20.0.0)

CVE-2025-49844 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- redis (<6.2.20, <7.2.11, <7.4.6, <8.0.4, <8.2.2)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1027, T1027.002, T1059.004, T1105, T1110.003, T1190, T1496, T1571

IOCs:
Hash: 4
Url: 1
IP: 6

Soft:
Kubernetes, Redis, Linux

Algorithms:
chacha20, md5, base64

Languages:
rust, lua

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ВПО P2Pinfect обеспечивает устойчивость в кластерах Google Kubernetes Engine (GKE) за счет экспонированных экземпляров Redis, при этом некоторые скомпрометированные узлы остаются активными до шести месяцев. Ботнет эксплуатирует уязвимости, включая CVE-2025-11953 и CVE-2025-49844, используя пиринговую архитектуру для масштабируемости и постоянного доступа. Механизм развертывания использует скрипт для установки клиентов, применяя нестандартные порты для распределения компонентов, а также демонстрирует возможности для распыления пароля по SSH и потенциальные периоды простоя перед выполнением вторичных полезной нагрузки, таких как программы-вымогатели или майнеры криптовалют.
-----

ВПО P2Pinfect сохраняет устойчивость в кластерах Google Kubernetes Engine (GKE) из-за открытых экземпляров Redis.

Ботнет может поддерживать долгосрочный доступ в облачных средах, при этом некоторые экземпляры остаются активными в течение шести месяцев.

P2Pinfect может оставаться в спящем режиме перед запуском программ-вымогателей или майнеров криптовалют.

Некоторые варианты P2Pinfect обладают возможностями пользовательского режима руткита.

Скрипт развертывания с именем deployer.sh используется для установки клиентов P2Pinfect.

Скомпрометированные узлы Redis, подключенные к пирам, были использованы через CVE-2025-11953 (Metro4Shell), направленные на уязвимости в приложениях React.

P2Pinfect также может использовать CVE-2025-49844 (RediShell) для критических тактик эксплуатации.

ВПО использует базовое распыление пароля для распространения по сетям.

P2Pinfect функционирует как децентрализованный ботнет с пиринговой архитектурой, что усложняет усилия по нейтрализации, такие как sinkholing.

Анализ трафика показывает исходящие соединения с узлами-партнёрами по нестандартным портам с единой структурой URI для доставки полезной нагрузки.

Новые клиенты загружают бинарные файлы с определённых доменов и выполняют их с использованием аргументов, закодированных в base64.

Эти эксплойты указывают на попытки обфускации, а не на подлинные меры безопасности.

Взаимодействие между скомпрометированными узлами Redis и их пир-узел

P2Pinfect демонстрирует адаптивные и устойчивые характеристики, представляя значительные риски в облачных средах.

#ParsedReport #CompletenessMedium
20-05-2026

Mini Shai Hulud: Compromised @antv npm packages enable CI/CD credential theft

https://www.microsoft.com/en-us/security/blog/2026/05/20/mini-shai-hulud-compromised-antv-npm-packages-enable-ci-cd-credential-theft/

Report completeness: Medium

Actors/Campaigns:
Mini_shai-hulud

Threats:
Shai-hulud
Supply_chain_technique
Npmstealer
Trojan:js/obfusnpmjs

Victims:
Software supply chain, Continuous integration and continuous delivery environments, Cloud workloads, Open source package ecosystem

Industry:
Healthcare

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 14
IP: 2
Hash: 3
Domain: 1

Soft:
Microsoft Defender, Linux, HashiCorp Vault, Kubernetes, 1Password, sudo, Dependabot, Microsoft Defender for Endpoint, Node.js, Twitter, have more...

Algorithms:
sha256, base64, pbkdf2

Win API:
lockfile

Languages:
python, javascript

Links:
https://github.com/advisories?query=type%3Amalware

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Microsoft выявила атаку на Цепочку поставок, нацеленную на экосистему @antv в npm, инициированную скомпрометированной учетной записью сопровождающего, которая опубликовала вредоносные версии популярных библиотек. Зашифрованный JavaScript-пакет размером 499 КБ выполняется во время установки npm, крадя учетные данные из сред, таких как GitHub Actions, AWS и Kubernetes, с использованием обширных тактик, включая ограничение по окружению, сканирование памяти и эксфильтрация данных на зашифрованный домен C2. Эта атака скомпрометировала токены npm и GitHub, обеспечив более широкий доступ и подрывая доверие к системам доставки программного обеспечения.
-----

Microsoft выявила атаку на Цепочку поставок, нацеленную на экосистему @antv в менеджере пакетов npm, инициированную скомпрометированной учетной записью сопровождающего. Это привело к публикации вредоносных версий популярных библиотек для визуализации данных, что существенно повлияло на конвейеры CI/CD и облачные рабочие нагрузки из-за широкого внедрения в экосистеме. Вредоносная нагрузка, представляющая собой 499 КБ зашифрованный JavaScript-файл, выполняется скрытно в процессе установки npm и специально разработана для кражи учетных данных из различных сред, включая GitHub Actions.

Атака использует сложный метод обфускации, включающий несколько уровней кодирования и шифрования. Критические строки, такие как доменные имена управления (C2) и имена переменных окружения, шифруются с использованием пользовательского алгоритма хеширования. Кроме того, полезная нагрузка включает механизм ограничения среды, который предотвращает выполнение, если не обнаруживает среду Linux в GitHub Actions. Атака реализует различные техники для повышения скрытности, включая обход определенных веток в репозиториях git при эксфильтрации данных.

Возможности кражи учетных данных обширны и охватывают GitHub, AWS, HashiCorp Vault, npm, Kubernetes и 1Password. Атакующий может извлекать токены GitHub, перечислять секреты AWS через его Instance Metadata Service, собирать из 1Password мастер-пароли и читать токены сервисных учетных записей Kubernetes. Кроме того, полезная нагрузка может выполнять сканирование памяти для захвата секретов из работающих процессов, что увеличивает риск дальнейшей компрометации данных.

Эксплуатация данных происходит через HTTPS-соединение с зашифрованным C2-доменом или с помощью тактик резервного канала, которые используют Git Data API для создания коммитов в репозиториях жертв, избегая обнаружения за счёт обхода защищённых веток.

Воздействие атаки значительное, с прямой компрометацией пакетов @antv и их каскадными эффектами для тысяч зависимых проектов. Украденные токены npm создают риски для дальнейшего отравления пакетов, тогда как скомпрометированные токены GitHub могут облегчить манипуляции с репозиториями, а учетные данные AWS могут обеспечить несанкционированный доступ к облаку. Примечательно, что возможность подделки цепочки поставок подрывает доверие к существующим фреймворкам доставки программного обеспечения.

В ответ на инцидент GitHub оперативно удалил 640 вредоносных пакетов и аннулировал более 61 000 токенов доступа, которые могли быть использованы злоумышленниками, тем самым минимизировав потенциальный ущерб. Для постоянного информирования сообщества об уязвимостях и угрозах, связанных с данной кампанией, публикуются данные о текущем мониторинге и дополнительные рекомендации, подчеркивая необходимость бдительности в отношении таких сложных угроз Цепочке поставок.

#ParsedReport #CompletenessHigh
21-05-2026

JOMANGY: INJ3CTOR3’s Self-Healing FreePBX Toll Fraud Campaign

https://cyble.com/blog/jomangy-inj3ctor3s-self-healing-freepbx-toll-fraud-campaign/

Report completeness: High

Actors/Campaigns:
Inj3ctor3 (motivation: financially_motivated)
B3d0r
Yokyok

Threats:
Jomangy_webshell
Zenharr
Encystphp
B374k_tool

Victims:
Voip infrastructure, Pbx platforms, Telecommunications

Industry:
Telco

Geo:
Hong kong, Brazilian, Oceania, Asia, Netherlands, America, Singapore, Dutch, Middle east, Apac, China, Africa, Latin america

CVEs:
CVE-2025-64328 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sangoma firestore (<17.0.3)

CVE-2025-57819 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sangoma freepbx (<15.0.66, <16.0.89, <17.0.3)

CVE-2019-19006 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sangoma freepbx (le13.0.197.13, le14.0.13.11, le15.0.16.26)

CVE-2021-45461 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sangoma restapps (15.0.19.87, 15.0.19.88, 16.0.18.40, 16.0.18.41)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1036.010, T1037.004, T1053.003, T1059.004, T1070.002, T1070.004, T1098, have more...

IOCs:
File: 15
IP: 5
Hash: 6
Url: 4

Soft:
reePBX To, FreePBX, crontab, MySQL, Alibaba Cloud, Elastix, curl, ntab - co, url ht, lastix SQ, have more...

Algorithms:
md5, base64, sha256, sha1

Functions:
str_rot13, eval, system, setAdmin

Languages:
php

Links:
https://github.com/watchtowrlabs/watchTowr-vs-FreePBX-CVE-2025-57819
have more...
https://github.com/FreePBX/security-reporting/security/advisories/GHSA-vm9p-46mv-5xvw

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник INJ3CTOR3 проводит кампанию по эксплуатации FreePBX с использованием многоступенчатого Bash-дроппера для развертывания PHP-вебшелла под названием JOMANGY, а также ZenharR, нацеленных на VoIP-инфраструктуру с целью телефонного мошенничества. Операция опирается на сложные механизмы закрепления, включая несколько бэкдоров в crontab и зашифрованные вебшеллы, одновременно эксплуатируя известные уязвимости CVE-2025-64328 и CVE-2025-57819 для получения доступа. Цепочка заражения демонстрирует надежную структуру, обеспечивающую долгосрочный контроль над скомпрометированными системами.
-----

Текущая кампания по эксплуатации FreePBX, связанная со злоумышленником INJ3CTOR3, использует сложную многоэтапную Bash-загрузчик, который устанавливает новое семейство PHP-вебшеллов под названием JOMANGY, а также другой инструмент под названием ZenharR. INJ3CTOR3 имеет историю атак на VoIP-инфраструктуру с 2019 года, преимущественно в целях финансовой выгоды через телефонное мошенничество, которое включает маршрутизацию звонков через собственные SIP-туннели жертв. Масштаб операции подчеркивается инвентарем управления (C2), включающим более 3000 IP-адресов, 39% из которых связаны с Alibaba Cloud.

Механизмы закрепления, внедрённые данной кампанией, отличаются высокой степенью сложности. В их число входят шесть независимых каналов, которые усиливают друг друга различными способами, такими как задачи cron для регулярного опроса C2, неизменяемые резервные копии crontab и процесс-наблюдатель, обеспечивающий непрерывную работоспособность. Архитектура спроектирована таким образом, чтобы любой отдельный элемент мог восстановить всю цепочку заражения, что делает усилия по устранению последствий практически бесполезными, если остаётся хотя бы один компонент.

Вебшеллы JOMANGY, содержащие код для мошенничества с телефонными услугами в реальном времени, зашифрованы с использованием двухслойной техники (base64 поверх ROT13) и идентифицируются по уникальному водяному знаку. Кампания использует 18 бэкдор-аккаунтов на разных уровнях, из которых девять аккаунтов имеют привилегии, эквивалентные root, что указывает на глубокий уровень доступа к скомпрометированным системам. Целевые системы — это в основном развертывания FreePBX, многие из которых устарели и недостаточно защищены.

Технический анализ цепочки заражения указывает на использование известных уязвимостей, в частности CVE-2025-64328 и CVE-2025-57819, которые являются высоковероятными кандидатами на роль вектора входа. Первая связана с инъекцией команд в модуле filestore FreePBX, тогда как вторая относится к уязвимости SQL-инъекции, которая может способствовать эксплуатации до аутентификации.

Этап 1 загрузчика выполняет процедуру вытеснения конкурентных веб-шеллов и обеспечивает закрепление через скрытые задачи cron и ежедневную очистку журналов. Он удаляет следы предыдущих взломов и готовится к собственной развертке веб-шеллов на последующих этапах. Оба экземпляра веб-шеллов JOMANGY и ZenharR предоставляют возможности для произвольного выполнения команд и VoIP-мошенничества, позволяя злоумышленникам совершать звонки с использованием инфраструктуры жертвы.

Тактика INJ3CTOR3 не только агрессивна, но и тщательно спроектирована для обеспечения долгосрочного контроля и уклонения от механизмов обнаружения. Канал C2 остается активным, а угрожающий ландшафт постоянно мониторится, учитывая значительный операционный потенциал, продемонстрированный кампанией. Исследование показывает, что устранение известных уязвимостей может быть недостаточно для полного удаления этих угроз, при этом множество систем остается скомпрометированными спустя месяцы после раскрытия и устранения уязвимостей. Это отражает устойчивость и адаптивность тактик, применяемых INJ3CTOR3.