#ParsedReport #CompletenessLow
21-05-2026

Misconfigured, Enrolled and Dormant: Anatomy of a P2Pinfect Kubernetes Compromise

https://www.fortinet.com/blog/threat-research/misconfigured-enrolled-and-dormant-anatomy-of-a-p2pinfect-kubernetes-compromise

Report completeness: Low

Threats:
P2pinfect
Metro4shell_vuln
Redishell_vuln
React2shell_vuln
Kryptik

Victims:
Kubernetes environments, Redis servers, Google kubernetes engine clusters, Cloud environments

CVEs:
CVE-2022-0543 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- redis (-)

CVE-2025-11953 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- react-native-community react_native_community_cli (<19.1.2, 18.0.0, 20.0.0)

CVE-2025-49844 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- redis (<6.2.20, <7.2.11, <7.4.6, <8.0.4, <8.2.2)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1027, T1027.002, T1059.004, T1105, T1110.003, T1190, T1496, T1571

IOCs:
Hash: 4
Url: 1
IP: 6

Soft:
Kubernetes, Redis, Linux

Algorithms:
chacha20, md5, base64

Languages:
rust, lua

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ВПО P2Pinfect обеспечивает устойчивость в кластерах Google Kubernetes Engine (GKE) за счет экспонированных экземпляров Redis, при этом некоторые скомпрометированные узлы остаются активными до шести месяцев. Ботнет эксплуатирует уязвимости, включая CVE-2025-11953 и CVE-2025-49844, используя пиринговую архитектуру для масштабируемости и постоянного доступа. Механизм развертывания использует скрипт для установки клиентов, применяя нестандартные порты для распределения компонентов, а также демонстрирует возможности для распыления пароля по SSH и потенциальные периоды простоя перед выполнением вторичных полезной нагрузки, таких как программы-вымогатели или майнеры криптовалют.
-----

ВПО P2Pinfect сохраняет устойчивость в кластерах Google Kubernetes Engine (GKE) из-за открытых экземпляров Redis.

Ботнет может поддерживать долгосрочный доступ в облачных средах, при этом некоторые экземпляры остаются активными в течение шести месяцев.

P2Pinfect может оставаться в спящем режиме перед запуском программ-вымогателей или майнеров криптовалют.

Некоторые варианты P2Pinfect обладают возможностями пользовательского режима руткита.

Скрипт развертывания с именем deployer.sh используется для установки клиентов P2Pinfect.

Скомпрометированные узлы Redis, подключенные к пирам, были использованы через CVE-2025-11953 (Metro4Shell), направленные на уязвимости в приложениях React.

P2Pinfect также может использовать CVE-2025-49844 (RediShell) для критических тактик эксплуатации.

ВПО использует базовое распыление пароля для распространения по сетям.

P2Pinfect функционирует как децентрализованный ботнет с пиринговой архитектурой, что усложняет усилия по нейтрализации, такие как sinkholing.

Анализ трафика показывает исходящие соединения с узлами-партнёрами по нестандартным портам с единой структурой URI для доставки полезной нагрузки.

Новые клиенты загружают бинарные файлы с определённых доменов и выполняют их с использованием аргументов, закодированных в base64.

Эти эксплойты указывают на попытки обфускации, а не на подлинные меры безопасности.

Взаимодействие между скомпрометированными узлами Redis и их пир-узел

P2Pinfect демонстрирует адаптивные и устойчивые характеристики, представляя значительные риски в облачных средах.

#ParsedReport #CompletenessMedium
20-05-2026

Mini Shai Hulud: Compromised @antv npm packages enable CI/CD credential theft

https://www.microsoft.com/en-us/security/blog/2026/05/20/mini-shai-hulud-compromised-antv-npm-packages-enable-ci-cd-credential-theft/

Report completeness: Medium

Actors/Campaigns:
Mini_shai-hulud

Threats:
Shai-hulud
Supply_chain_technique
Npmstealer
Trojan:js/obfusnpmjs

Victims:
Software supply chain, Continuous integration and continuous delivery environments, Cloud workloads, Open source package ecosystem

Industry:
Healthcare

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 14
IP: 2
Hash: 3
Domain: 1

Soft:
Microsoft Defender, Linux, HashiCorp Vault, Kubernetes, 1Password, sudo, Dependabot, Microsoft Defender for Endpoint, Node.js, Twitter, have more...

Algorithms:
sha256, base64, pbkdf2

Win API:
lockfile

Languages:
python, javascript

Links:
https://github.com/advisories?query=type%3Amalware

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Microsoft выявила атаку на Цепочку поставок, нацеленную на экосистему @antv в npm, инициированную скомпрометированной учетной записью сопровождающего, которая опубликовала вредоносные версии популярных библиотек. Зашифрованный JavaScript-пакет размером 499 КБ выполняется во время установки npm, крадя учетные данные из сред, таких как GitHub Actions, AWS и Kubernetes, с использованием обширных тактик, включая ограничение по окружению, сканирование памяти и эксфильтрация данных на зашифрованный домен C2. Эта атака скомпрометировала токены npm и GitHub, обеспечив более широкий доступ и подрывая доверие к системам доставки программного обеспечения.
-----

Microsoft выявила атаку на Цепочку поставок, нацеленную на экосистему @antv в менеджере пакетов npm, инициированную скомпрометированной учетной записью сопровождающего. Это привело к публикации вредоносных версий популярных библиотек для визуализации данных, что существенно повлияло на конвейеры CI/CD и облачные рабочие нагрузки из-за широкого внедрения в экосистеме. Вредоносная нагрузка, представляющая собой 499 КБ зашифрованный JavaScript-файл, выполняется скрытно в процессе установки npm и специально разработана для кражи учетных данных из различных сред, включая GitHub Actions.

Атака использует сложный метод обфускации, включающий несколько уровней кодирования и шифрования. Критические строки, такие как доменные имена управления (C2) и имена переменных окружения, шифруются с использованием пользовательского алгоритма хеширования. Кроме того, полезная нагрузка включает механизм ограничения среды, который предотвращает выполнение, если не обнаруживает среду Linux в GitHub Actions. Атака реализует различные техники для повышения скрытности, включая обход определенных веток в репозиториях git при эксфильтрации данных.

Возможности кражи учетных данных обширны и охватывают GitHub, AWS, HashiCorp Vault, npm, Kubernetes и 1Password. Атакующий может извлекать токены GitHub, перечислять секреты AWS через его Instance Metadata Service, собирать из 1Password мастер-пароли и читать токены сервисных учетных записей Kubernetes. Кроме того, полезная нагрузка может выполнять сканирование памяти для захвата секретов из работающих процессов, что увеличивает риск дальнейшей компрометации данных.

Эксплуатация данных происходит через HTTPS-соединение с зашифрованным C2-доменом или с помощью тактик резервного канала, которые используют Git Data API для создания коммитов в репозиториях жертв, избегая обнаружения за счёт обхода защищённых веток.

Воздействие атаки значительное, с прямой компрометацией пакетов @antv и их каскадными эффектами для тысяч зависимых проектов. Украденные токены npm создают риски для дальнейшего отравления пакетов, тогда как скомпрометированные токены GitHub могут облегчить манипуляции с репозиториями, а учетные данные AWS могут обеспечить несанкционированный доступ к облаку. Примечательно, что возможность подделки цепочки поставок подрывает доверие к существующим фреймворкам доставки программного обеспечения.

В ответ на инцидент GitHub оперативно удалил 640 вредоносных пакетов и аннулировал более 61 000 токенов доступа, которые могли быть использованы злоумышленниками, тем самым минимизировав потенциальный ущерб. Для постоянного информирования сообщества об уязвимостях и угрозах, связанных с данной кампанией, публикуются данные о текущем мониторинге и дополнительные рекомендации, подчеркивая необходимость бдительности в отношении таких сложных угроз Цепочке поставок.

#ParsedReport #CompletenessHigh
21-05-2026

JOMANGY: INJ3CTOR3’s Self-Healing FreePBX Toll Fraud Campaign

https://cyble.com/blog/jomangy-inj3ctor3s-self-healing-freepbx-toll-fraud-campaign/

Report completeness: High

Actors/Campaigns:
Inj3ctor3 (motivation: financially_motivated)
B3d0r
Yokyok

Threats:
Jomangy_webshell
Zenharr
Encystphp
B374k_tool

Victims:
Voip infrastructure, Pbx platforms, Telecommunications

Industry:
Telco

Geo:
Hong kong, Brazilian, Oceania, Asia, Netherlands, America, Singapore, Dutch, Middle east, Apac, China, Africa, Latin america

CVEs:
CVE-2025-64328 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sangoma firestore (<17.0.3)

CVE-2025-57819 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sangoma freepbx (<15.0.66, <16.0.89, <17.0.3)

CVE-2019-19006 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sangoma freepbx (le13.0.197.13, le14.0.13.11, le15.0.16.26)

CVE-2021-45461 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sangoma restapps (15.0.19.87, 15.0.19.88, 16.0.18.40, 16.0.18.41)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1036.010, T1037.004, T1053.003, T1059.004, T1070.002, T1070.004, T1098, have more...

IOCs:
File: 15
IP: 5
Hash: 6
Url: 4

Soft:
reePBX To, FreePBX, crontab, MySQL, Alibaba Cloud, Elastix, curl, ntab - co, url ht, lastix SQ, have more...

Algorithms:
md5, base64, sha256, sha1

Functions:
str_rot13, eval, system, setAdmin

Languages:
php

Links:
https://github.com/watchtowrlabs/watchTowr-vs-FreePBX-CVE-2025-57819
have more...
https://github.com/FreePBX/security-reporting/security/advisories/GHSA-vm9p-46mv-5xvw

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник INJ3CTOR3 проводит кампанию по эксплуатации FreePBX с использованием многоступенчатого Bash-дроппера для развертывания PHP-вебшелла под названием JOMANGY, а также ZenharR, нацеленных на VoIP-инфраструктуру с целью телефонного мошенничества. Операция опирается на сложные механизмы закрепления, включая несколько бэкдоров в crontab и зашифрованные вебшеллы, одновременно эксплуатируя известные уязвимости CVE-2025-64328 и CVE-2025-57819 для получения доступа. Цепочка заражения демонстрирует надежную структуру, обеспечивающую долгосрочный контроль над скомпрометированными системами.
-----

Текущая кампания по эксплуатации FreePBX, связанная со злоумышленником INJ3CTOR3, использует сложную многоэтапную Bash-загрузчик, который устанавливает новое семейство PHP-вебшеллов под названием JOMANGY, а также другой инструмент под названием ZenharR. INJ3CTOR3 имеет историю атак на VoIP-инфраструктуру с 2019 года, преимущественно в целях финансовой выгоды через телефонное мошенничество, которое включает маршрутизацию звонков через собственные SIP-туннели жертв. Масштаб операции подчеркивается инвентарем управления (C2), включающим более 3000 IP-адресов, 39% из которых связаны с Alibaba Cloud.

Механизмы закрепления, внедрённые данной кампанией, отличаются высокой степенью сложности. В их число входят шесть независимых каналов, которые усиливают друг друга различными способами, такими как задачи cron для регулярного опроса C2, неизменяемые резервные копии crontab и процесс-наблюдатель, обеспечивающий непрерывную работоспособность. Архитектура спроектирована таким образом, чтобы любой отдельный элемент мог восстановить всю цепочку заражения, что делает усилия по устранению последствий практически бесполезными, если остаётся хотя бы один компонент.

Вебшеллы JOMANGY, содержащие код для мошенничества с телефонными услугами в реальном времени, зашифрованы с использованием двухслойной техники (base64 поверх ROT13) и идентифицируются по уникальному водяному знаку. Кампания использует 18 бэкдор-аккаунтов на разных уровнях, из которых девять аккаунтов имеют привилегии, эквивалентные root, что указывает на глубокий уровень доступа к скомпрометированным системам. Целевые системы — это в основном развертывания FreePBX, многие из которых устарели и недостаточно защищены.

Технический анализ цепочки заражения указывает на использование известных уязвимостей, в частности CVE-2025-64328 и CVE-2025-57819, которые являются высоковероятными кандидатами на роль вектора входа. Первая связана с инъекцией команд в модуле filestore FreePBX, тогда как вторая относится к уязвимости SQL-инъекции, которая может способствовать эксплуатации до аутентификации.

Этап 1 загрузчика выполняет процедуру вытеснения конкурентных веб-шеллов и обеспечивает закрепление через скрытые задачи cron и ежедневную очистку журналов. Он удаляет следы предыдущих взломов и готовится к собственной развертке веб-шеллов на последующих этапах. Оба экземпляра веб-шеллов JOMANGY и ZenharR предоставляют возможности для произвольного выполнения команд и VoIP-мошенничества, позволяя злоумышленникам совершать звонки с использованием инфраструктуры жертвы.

Тактика INJ3CTOR3 не только агрессивна, но и тщательно спроектирована для обеспечения долгосрочного контроля и уклонения от механизмов обнаружения. Канал C2 остается активным, а угрожающий ландшафт постоянно мониторится, учитывая значительный операционный потенциал, продемонстрированный кампанией. Исследование показывает, что устранение известных уязвимостей может быть недостаточно для полного удаления этих угроз, при этом множество систем остается скомпрометированными спустя месяцы после раскрытия и устранения уязвимостей. Это отражает устойчивость и адаптивность тактик, применяемых INJ3CTOR3.

#ParsedReport #CompletenessMedium
21-05-2026

Middle East Malicious Infrastructure Report: 1,350+ C2 Servers Mapped Across 98 Providers

https://hunt.io/blog/middle-east-malicious-infrastructure-report

Report completeness: Medium

Actors/Campaigns:
Eagle_werewolf (motivation: cyber_espionage)
Alpha_spider
Graycharlie
Energeticbear
Fancy_bear
Smartapesg

Threats:
Phorpiex
Metro4shell_vuln
Dynowiper
Rondodox
Hellsuchecker
Etherhiding_technique
Clickfix_technique
Termite
Tactical_rmm_tool
Cobalt_strike_tool
Hajime
Mozi
Mirai
Sliver_c2_tool
Acunetix_tool
Gophish_tool
Asyncrat
Lockbit
Xmrig_miner
Dll_sideloading_technique
Soullessrat
Aquilarat
Llmjacking_technique
Amatera_stealer
Lolbin_technique

Victims:
Middle east, Telecommunications, Hosting providers, Cloud platforms, State entities, Industrial entities, Renewable energy, Internet exposed devices, Aws environments

Industry:
Ics, Energy, Iot, Telco, Critical_infrastructure, Entertainment

Geo:
Lebanon, Egypt, Palestine, Jordan, Bahrain, Poland, Kuwait, Cyprus, Syrian, Saudi arabia, Iranian, Iraq, Middle east, Egyptian, Israeli, Turkish, Iran, Saudi, Turkey, Israel, Syria

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.001, T1059.002, T1059.004, T1071.001, T1078, T1095, T1105, T1190, have more...

IOCs:
IP: 5
File: 4

Soft:
WordPress, Keitaro, Starlink, Telegram, Microsoft Defender, curl

Algorithms:
exhibit, base64

Functions:
ReadOnlyAccess

Languages:
rust, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ на Ближнем Востоке выявляет более 1350 серверов управления (C2), преимущественно сконцентрированных в Саудовской Аравии (981), что указывает на зависимость от местных телекоммуникационных компаний для злонамеренной деятельности. Инфраструктура управления составляет 96,8% злонамеренной активности, при этом наблюдаются разнообразные ВПО, такие как Hajime, Mozi, Mirai, а также фреймворки, такие как Cobalt Strike. Злоумышленники применяют различные техники, включая фишинг и гибридные методы управления, что указывает на сложную картину, включающую государственную шпионажную деятельность и различные семейства ВПО.
-----

Анализ вредоносной инфраструктуры на Ближнем Востоке выявляет значительную концентрацию серверов управления (command-and-control), при этом за три месяца наблюдения было обнаружено более 1350 таких серверов у 98 провайдеров инфраструктуры. Примечательно, что только STC (Saudi Telecom Company) в Саудовской Аравии размещает 981 сервер управления, что составляет 72,4% от общего регионального показателя, что иллюстрирует сильную зависимость от конкретных телекоммуникационных сетей для злонамеренной деятельности. Это доминирование предполагает, что скомпрометированные конечные точки клиентов используются для размещения операций управления, а не исключительно через инфраструктуру провайдеров.

Собранные данные показали, что инфраструктура C2 составляет около 96,8% наблюдаемой вредоносной активности, затмевая другие артефакты, такие как фишинговая инфраструктура (0,5%) и публично сообщаемые индикаторы компрометации (IOCs, 0,5%). В этих сетях активно участвуют IoT-ботнеты, такие как Hajime, Mozi и Mirai, а также наступательные фреймворки, такие как Cobalt Strike и Sliver, что подчеркивает разнообразие семейств ВПО, активных в этом регионе.

Более того, анализ выявил паттерны операционного разнообразия в региональных средах хостинга. К ним относятся активности, связанные с государственным шпионажем, платформами Malware-as-a-Service (MaaS) и криптомайнингом, что указывает на богатый ландшафт угроз. Набор данных показал, что определенные провайдеры на Ближнем Востоке размещают несколько различных семейств ВПО, что усложняет ландшафт угроз.

Зафиксированы конкретные примеры активных кампаний. Ботнет Phorpiex использует гибридную архитектуру управления на инфраструктуре Syrian Telecom, объединяя HTTP и одноранговые коммуникации для доставки вредоносных загрузок, включая майнеры и программы-вымогатели. Кроме того, в недавних шпионских кампаниях, связанных с кластером Eagle Werewolf, применялись различные методы проникновения, такие как фишинг и доставка вредоносных загрузок через скомпрометированные среды.

Схемы инфраструктуры указывают на то, что вредоносная активность не ограничивается узким набором тактик или инструментов, что подтверждается разнообразными операционными моделями, наблюдаемыми среди провайдеров. Разнообразие ВПО и методов атак, от базового фишинга до сложных операций, спонсируемых государствами, используемых злоумышленниками, иллюстрирует сложность и масштаб проблем, с которыми сталкиваются защитники кибербезопасности в регионе.

#ParsedReport #CompletenessMedium
22-05-2026

The Gentlemen (Ransomware) in Disguise: Defense Evasion and other TTPs

https://www.huntress.com/blog/the-gentlemen-ransomware-defense-evasion-ttps

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware
Lazarus

Threats:
Gentlemen_ransomware
ransomware.live
Anydesk_tool
Trojan:win32/mptamperbulkexcl.h
Ransom:win64/gentlemen.sh
Qilin_ransomware
Blackbyte
Trojan:win32/mptamperbulkexcl
Ransom:win64/gentlemen

Victims:
Shipping and transportation, Construction, Organizations

Industry:
Education, Transport

CVEs:
CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)


ChatGPT TTPs:
do not use without manual check
T1021.001, T1036, T1053.005, T1059.001, T1070.001, T1072, T1078, T1090, T1219, T1484.001, have more...

IOCs:
File: 6
Path: 4
Command: 7
IP: 4
Hash: 1

Soft:
Microsoft Defender, ChatGPT, Claude

Algorithms:
sha256

Functions:
Set-MpPreference, Set-Service, TaskScheduler

Win Services:
WinDefend

Languages:
powershell

Links:
https://github.com/huntresslabs/threat-intel/tree/main
have more...
https://github.com/huntresslabs/threat-intel/blob/main/2026/2026-05/20260521\_gentlemen.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка Gentlemen, оперирующая по модели программа-вымогатель как услуга, с середины 2025 года поразила более 400 жертв, применяя такие тактики, как запланированные задачи и PowerShell для обход защиты. Злоумышленники известны тем, что очищают журналы, отключают Microsoft Defender и используют кастомные инструменты обхода защиты, при этом внутренние утечки раскрывают факты эксплуатации ими уязвимостей безопасности. Среди заметных инцидентов — попытки запуска программы-вымогателя через RDP и использование сетевых папок NETLOGON, что подчеркивает их изощренные тактики и срочность внедрения усиленного мониторинга и практик безопасности.
-----

Группировка Gentlemen, операционная модель программы-вымогателя как услуга (RaaS), появившаяся в середине 2025 года, проявляет всё большую активность, затронув более 400 жертв по всему миру, включая недавнюю атаку на судоходную компанию и другую, направленную на строительную фирму. Результаты расследований безопасности от Huntress выявили общие тактики, техники и процедуры (TTPs), используемые злоумышленниками, такие как использование запланированных задач и PowerShell для обхода защиты. В обоих проанализированных инцидентах атакующие успешно очистили журналы событий безопасности, системы и приложений, использовали PowerShell для отключения Microsoft Defender и добавили исключения антивируса для облегчения своих атак.

Внутренняя утечка из операций хакерской группировки The Gentlemen предоставила критически важные сведения об их методах, показав, что операторы активно эксплуатируют уязвимости в защите и отслеживают различные уязвимости. В частности, известно, что группировка злоупотребляет ведением журналов Windows и развертывает кастомные инструменты для обхода средств защиты. Аффилированные лица The Gentlemen также могут быть напрямую вовлечены в атаки, о чем свидетельствует обнаружение связанных идентификаторов аффилированных лиц, указывающих на платформу обмена сообщениями Tox, используемую для коммуникации.

В одном инциденте, связанном с сектором судоходства и транспорта, злоумышленники инициировали подключение по Протоколу удаленного рабочего стола (RDP) и попытались запустить локальный шифровальщик ransomware, однако это было предотвращено Microsoft Defender. Впоследствии злоумышленники создали запланированные задачи для повторного запуска шифровальщика, одна из которых выполнила полезную нагрузку ransomware из общего ресурса NETLOGON с использованием учетной записи SYSTEM. Другой инцидент, затронувший строительную компанию, продемонстрировал вариации в методах выполнения и тактиках, при этом вредоносная активность началась за несколько недель до того, как системы обнаружения угроз были развернуты. Журналы Microsoft Defender показали, что первоначальные попытки шифрования были обнаружены, но в конечном итоге не увенчались успехом, что привело к дальнейшим попыткам, включавшим сложные техники уклонения, такие как очистка журналов и выполнение под зашифрованными именами.

Несмотря на меры злоумышленников по сокрытию действий, часть телеметрии из PowerShell и журналов событий Windows осталась доступной, что позволило защитникам получить информацию о компрометации. Постоянный мониторинг аномальных входов в систему, создания запланированных задач и признаков вмешательства в системы безопасности, такие как Microsoft Defender, имеет решающее значение для организаций, стремящихся усилить защиту от вымогательского ПО The Gentlemen. Кроме того, внедрение многофакторной аутентификации (MFA) и ограничение доступа по RDP могут значительно снизить риск подобных вторжений. Выводы, сделанные на основе как расследований, так и утечки внутренних данных, подчеркнули важность обеспечения базовых практик кибербезопасности, поддержания полных реестров активов и развертывания надежных решений мониторинга для эффективного смягчения потенциальных атак вымогательского ПО.

#ParsedReport #CompletenessLow
22-05-2026

A New SonicWall Scanning Spike Echoes the Pattern That Preceded CVE-2026-0400

https://www.greynoise.io/blog/sonicwall-scanning-spike-echoes-pattern-preceded-cve-2026-0400

Report completeness: Low

Victims:
Sonicwall users, Ssl vpn users

Geo:
Netherlands, Ukraine

CVEs:
CVE-2026-0400 [Vulners]
CVSS V3.1: 4.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (<7.3.2-7010)


ChatGPT TTPs:
do not use without manual check
T1595

IOCs:
IP: 5

Soft:
Slack, SonicOS, Chrome, Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Наблюдается значительный рост активности сканирования, направленной на интерфейсы управления SonicWall SonicOS, с пиком 12 мая 2026 года, когда было зафиксировано около 597 000 сессий, что в 46 раз превышает обычный объем. Сканирование в основном связано с пользовательским агентом Chrome 119 на Linux и преимущественно исходит из сетей Нидерландов и Украины, что указывает на сконцентрированную угрозу. Эта активность, в основном направленная на порты 80 и 8080, соответствует тактике разведки, часто предшествующей раскрытию уязвимостей.
-----

Согласно недавним наблюдениям GreyNoise, зафиксировано значительное увеличение активности сканирования, направленной на интерфейсы управления SonicWall SonicOS в период с 9 по 18 мая 2026 года. Пик пришелся на 12 мая, когда было зафиксировано около 597 000 сессий, что в 46 раз превышает обычный дневной объем для этого тега. Подобные всплески в прошлом предшествовали раскрытию уязвимостей, затрагивающих продукты SonicWall. Примечательно, что предыдущие всплески активности наблюдались 18 января, 30 января и 14 февраля, и все они предшествовали выпуску CVE-2026-0400 24 февраля.

Анализ сканирующей активности показывает, что примерно 99% запросов идентифицировали единственный пользовательский агент браузера — Chrome 119 на Linux x86_64, что соответствует паттернам, наблюдавшимся во время более ранних всплесков. Эта непрерывность указывает на то, что в текущей волне сканирования используется то же самое программное обеспечение. Что касается происхождения этих сессий, то около 56% исходит из сетей в Нидерландах, а 44% — из Украины, что указывает на высоко концентрированный ландшафт угроз, при котором один номер автономной системы (ASN) обеспечивает примерно половину всех сессий. Важно отметить, что многие из задействованных IP-адресов были классифицированы как подозрительные GreyNoise.

Специфические сервисы, нацеленные в период этого всплеска, преимущественно размещены на портах 80 и 8080 (HTTP), что соответствует устоявшимся тактикам, обычно применяемым на этапе разведки кибератак.

В ответ на потенциальную угрозу, которую представляет эта активность, защитникам рекомендуется принять несколько предупредительных мер. К ним относится ограничение доступа к API управления SonicOS и порталу SSL VPN для известных диапазонов IP-адресов администраторов, что позволило бы снизить риск несанкционированного доступа. Необходимо устранить публичную экспозицию интерфейсов управления наряду с обязательной многофакторной аутентификацией (MFA) для всех учетных записей SSL VPN. Кроме того, рекомендуется провести аудит конфигурации SonicOS для выявления любых новых административных учетных записей, созданных после 1 мая 2026 года, и использовать динамический блэклист IP-адресов на периметре сети для дополнительной защиты от потенциальной эксплуатации.

#ParsedReport #CompletenessMedium
21-05-2026

Updated UAC-0057 toolkit: OYSTERFRESH, OYSTERSHUCK and OYSTERBLUES

https://cert.gov.ua/article/6315762

Report completeness: Medium

Actors/Campaigns:
Ghostwriter

Threats:
Oysterfresh
Oystershuck
Oysterblues
Oyster
Cobalt_strike_tool

Victims:
Government organizations

Industry:
Government

ChatGPT TTPs:
do not use without manual check
T1027, T1033, T1036.005, T1041, T1057, T1059.007, T1071.001, T1082, T1112, T1140, have more...

IOCs:
Hash: 64
File: 14
BrowserExtension: 1
IP: 1
Coin: 1
Url: 12
Domain: 16

Soft:
Google Chrome

Algorithms:
zip

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4