#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка Gentlemen, оперирующая по модели программа-вымогатель как услуга, с середины 2025 года поразила более 400 жертв, применяя такие тактики, как запланированные задачи и PowerShell для обход защиты. Злоумышленники известны тем, что очищают журналы, отключают Microsoft Defender и используют кастомные инструменты обхода защиты, при этом внутренние утечки раскрывают факты эксплуатации ими уязвимостей безопасности. Среди заметных инцидентов — попытки запуска программы-вымогателя через RDP и использование сетевых папок NETLOGON, что подчеркивает их изощренные тактики и срочность внедрения усиленного мониторинга и практик безопасности.
-----

Группировка Gentlemen, операционная модель программы-вымогателя как услуга (RaaS), появившаяся в середине 2025 года, проявляет всё большую активность, затронув более 400 жертв по всему миру, включая недавнюю атаку на судоходную компанию и другую, направленную на строительную фирму. Результаты расследований безопасности от Huntress выявили общие тактики, техники и процедуры (TTPs), используемые злоумышленниками, такие как использование запланированных задач и PowerShell для обхода защиты. В обоих проанализированных инцидентах атакующие успешно очистили журналы событий безопасности, системы и приложений, использовали PowerShell для отключения Microsoft Defender и добавили исключения антивируса для облегчения своих атак.

Внутренняя утечка из операций хакерской группировки The Gentlemen предоставила критически важные сведения об их методах, показав, что операторы активно эксплуатируют уязвимости в защите и отслеживают различные уязвимости. В частности, известно, что группировка злоупотребляет ведением журналов Windows и развертывает кастомные инструменты для обхода средств защиты. Аффилированные лица The Gentlemen также могут быть напрямую вовлечены в атаки, о чем свидетельствует обнаружение связанных идентификаторов аффилированных лиц, указывающих на платформу обмена сообщениями Tox, используемую для коммуникации.

В одном инциденте, связанном с сектором судоходства и транспорта, злоумышленники инициировали подключение по Протоколу удаленного рабочего стола (RDP) и попытались запустить локальный шифровальщик ransomware, однако это было предотвращено Microsoft Defender. Впоследствии злоумышленники создали запланированные задачи для повторного запуска шифровальщика, одна из которых выполнила полезную нагрузку ransomware из общего ресурса NETLOGON с использованием учетной записи SYSTEM. Другой инцидент, затронувший строительную компанию, продемонстрировал вариации в методах выполнения и тактиках, при этом вредоносная активность началась за несколько недель до того, как системы обнаружения угроз были развернуты. Журналы Microsoft Defender показали, что первоначальные попытки шифрования были обнаружены, но в конечном итоге не увенчались успехом, что привело к дальнейшим попыткам, включавшим сложные техники уклонения, такие как очистка журналов и выполнение под зашифрованными именами.

Несмотря на меры злоумышленников по сокрытию действий, часть телеметрии из PowerShell и журналов событий Windows осталась доступной, что позволило защитникам получить информацию о компрометации. Постоянный мониторинг аномальных входов в систему, создания запланированных задач и признаков вмешательства в системы безопасности, такие как Microsoft Defender, имеет решающее значение для организаций, стремящихся усилить защиту от вымогательского ПО The Gentlemen. Кроме того, внедрение многофакторной аутентификации (MFA) и ограничение доступа по RDP могут значительно снизить риск подобных вторжений. Выводы, сделанные на основе как расследований, так и утечки внутренних данных, подчеркнули важность обеспечения базовых практик кибербезопасности, поддержания полных реестров активов и развертывания надежных решений мониторинга для эффективного смягчения потенциальных атак вымогательского ПО.

#ParsedReport #CompletenessLow
22-05-2026

A New SonicWall Scanning Spike Echoes the Pattern That Preceded CVE-2026-0400

https://www.greynoise.io/blog/sonicwall-scanning-spike-echoes-pattern-preceded-cve-2026-0400

Report completeness: Low

Victims:
Sonicwall users, Ssl vpn users

Geo:
Netherlands, Ukraine

CVEs:
CVE-2026-0400 [Vulners]
CVSS V3.1: 4.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (<7.3.2-7010)


ChatGPT TTPs:
do not use without manual check
T1595

IOCs:
IP: 5

Soft:
Slack, SonicOS, Chrome, Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Наблюдается значительный рост активности сканирования, направленной на интерфейсы управления SonicWall SonicOS, с пиком 12 мая 2026 года, когда было зафиксировано около 597 000 сессий, что в 46 раз превышает обычный объем. Сканирование в основном связано с пользовательским агентом Chrome 119 на Linux и преимущественно исходит из сетей Нидерландов и Украины, что указывает на сконцентрированную угрозу. Эта активность, в основном направленная на порты 80 и 8080, соответствует тактике разведки, часто предшествующей раскрытию уязвимостей.
-----

Согласно недавним наблюдениям GreyNoise, зафиксировано значительное увеличение активности сканирования, направленной на интерфейсы управления SonicWall SonicOS в период с 9 по 18 мая 2026 года. Пик пришелся на 12 мая, когда было зафиксировано около 597 000 сессий, что в 46 раз превышает обычный дневной объем для этого тега. Подобные всплески в прошлом предшествовали раскрытию уязвимостей, затрагивающих продукты SonicWall. Примечательно, что предыдущие всплески активности наблюдались 18 января, 30 января и 14 февраля, и все они предшествовали выпуску CVE-2026-0400 24 февраля.

Анализ сканирующей активности показывает, что примерно 99% запросов идентифицировали единственный пользовательский агент браузера — Chrome 119 на Linux x86_64, что соответствует паттернам, наблюдавшимся во время более ранних всплесков. Эта непрерывность указывает на то, что в текущей волне сканирования используется то же самое программное обеспечение. Что касается происхождения этих сессий, то около 56% исходит из сетей в Нидерландах, а 44% — из Украины, что указывает на высоко концентрированный ландшафт угроз, при котором один номер автономной системы (ASN) обеспечивает примерно половину всех сессий. Важно отметить, что многие из задействованных IP-адресов были классифицированы как подозрительные GreyNoise.

Специфические сервисы, нацеленные в период этого всплеска, преимущественно размещены на портах 80 и 8080 (HTTP), что соответствует устоявшимся тактикам, обычно применяемым на этапе разведки кибератак.

В ответ на потенциальную угрозу, которую представляет эта активность, защитникам рекомендуется принять несколько предупредительных мер. К ним относится ограничение доступа к API управления SonicOS и порталу SSL VPN для известных диапазонов IP-адресов администраторов, что позволило бы снизить риск несанкционированного доступа. Необходимо устранить публичную экспозицию интерфейсов управления наряду с обязательной многофакторной аутентификацией (MFA) для всех учетных записей SSL VPN. Кроме того, рекомендуется провести аудит конфигурации SonicOS для выявления любых новых административных учетных записей, созданных после 1 мая 2026 года, и использовать динамический блэклист IP-адресов на периметре сети для дополнительной защиты от потенциальной эксплуатации.

#ParsedReport #CompletenessMedium
21-05-2026

Updated UAC-0057 toolkit: OYSTERFRESH, OYSTERSHUCK and OYSTERBLUES

https://cert.gov.ua/article/6315762

Report completeness: Medium

Actors/Campaigns:
Ghostwriter

Threats:
Oysterfresh
Oystershuck
Oysterblues
Oyster
Cobalt_strike_tool

Victims:
Government organizations

Industry:
Government

ChatGPT TTPs:
do not use without manual check
T1027, T1033, T1036.005, T1041, T1057, T1059.007, T1071.001, T1082, T1112, T1140, have more...

IOCs:
Hash: 64
File: 14
BrowserExtension: 1
IP: 1
Coin: 1
Url: 12
Domain: 16

Soft:
Google Chrome

Algorithms:
zip

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка хакеров UAC-0057 расширила свой инструментарий, добавив такие компоненты, как OYSTERFRESH, OYSTERSHUCK и OYSTERBLUES, и нацелилась на государственные организации через фишинговые письма для Компрометация учетных записей. OYSTERFRESH имитирует легитимные документы и способствует развертыванию OYSTERSHUCK, который декодирует полезную нагрузку для OYSTERBLUES — инструмента сбора информации, собирающего системные данные и взаимодействующего с сервером управления. Инфраструктура группировки, скрытая за Cloudflare и использующая домены .icu, помогает в уклонении, при этом последующие атаки часто используют фреймворк Cobalt Strike.
-----

Группа злоумышленников UAC-0057, связанная с UNC1151, обновила свой инструментарий, добавив в него значимые компоненты: OYSTERFRESH, OYSTERSHUCK и OYSTERBLUES. Согласно отчетам CERT-UA, данная хакерская группировка активна с весны 2026 года и в основном нацелена на государственные организации посредством фишинговых писем, использующих скомпрометированные учетные записи. Эти письма часто касаются получения сертификатов через онлайн-платформу Prometheus.

OYSTERFRESH — это JavaScript-файл, предназначенный для имитации отображения легитимных документов при выполнении вредоносных действий. Он интегрируется в реестр операционной системы Windows с помощью зашифрованных и закодированных методов, что способствует развертыванию компонента OYSTERSHUCK. OYSTERSHUCK функционирует как декодер для инструмента OYSTERBLUES, используя такие техники, как реверсирование строк, преобразование ROT13 и URL-декодирование, для обработки своих полезной нагрузки.

После активации OYSTERBLUES собирает критическую информацию об заражённой машине, включая имя компьютера, учётную запись пользователя, версию операционной системы, время загрузки и активные процессы. Эти данные передаются на сервер управления через HTTP POST-запросы. В ответ сервер отправляет обратно JavaScript-код, который выполняется на скомпрометированной машине с помощью функции eval, что позволяет осуществлять дальнейшие вредоносные действия.

Важно отметить, что инфраструктура UAC-0057 скрыта за сервисами Cloudflare, что способствует её тактикам уклонения. Значительное количество доменов, используемых этой группой, относится к домену верхнего уровня .icu, что усложняет обнаружение и смягчение последствий. Следующий этап их атак часто включает развертывание фреймворк Cobalt Strike, который обычно используется для действий после эксплуатации. Эта комбинация техник демонстрирует сложный подход к кибероперациям, используя передовые методы уклонения и многоуровневую структуру атаки.

#ParsedReport #CompletenessLow
22-05-2026

VPN Exploitation When Patched Doesn't Mean Protected

https://reliaquest.com/blog/threat-spotlight-vpn-exploitation-when-patched-doesnt-mean-protected/

Report completeness: Low

Threats:
Citrix_bleed_vuln
Cobalt_strike_tool
Byovd_technique
Edr-killer
Akira_ransomware

Victims:
Organizations using sonicwall ssl vpn appliances, Small and medium sized businesses

CVEs:
CVE-2024-12802 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-4966 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.300, <13.0-92.19, <13.1-37.164, <13.1-49.15, <14.1-8.50)
- citrix netscaler_gateway (<13.0-92.19, <13.1-49.15, <14.1-8.50)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1068, T1078.002, T1078.003, T1083, T1110, T1133, T1190, T1562.001

IOCs:
Hash: 2
IP: 2

Soft:
Active Directory, Windows Defender Application Control

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2024-12802 — это уязвимость обхода аутентификации в устройствах SonicWall Gen6 SSL VPN, которая позволяет злоумышленникам эксплуатировать конфигурации, не обеспечивающие многофакторную аутентификацию (MFA). Первый известный случай эксплуатации произошел с февраля по март 2026 года с использованием методов брутфорса для компрометации учетных данных VPN и обхода MFA без обнаружения. Злоумышленники используют такие инструменты, как Cobalt Strike, для управления, что указывает на то, что уязвимость представляет значительные риски для несанкционированного доступа и перемещения внутри компании в сетях.
-----

CVE-2024-12802 — это уязвимость обхода аутентификации в устройствах SonicWall SSL VPN, затрагивающая устройства поколения 6 (Gen6).

Существует прошивка-патч, однако организациям необходимо выполнить шесть критических шагов ручной перенастройки для полной защиты.

Эксплуатация данной уязвимости активно происходит, несмотря на то, что устройства отображаются как защищённые в системах управления уязвимостями.

Первый известный случай эксплуатации произошел в период с февраля по март 2026 года с использованием методов брутфорса для компрометации учетных данных VPN и обхода многофакторной аутентификации (MFA).

Злоумышленники могли быстро получить доступ к внутренним сетям, часто достигая перемещение внутри компании к файловым серверам менее чем за 40 минут после аутентификации.

Бекдоры Cobalt Strike использовались во время вторжений, что указывает на потенциальные связи с группами вымогателей.

Атакующие использовали отсутствие защиты в одном из двух форматов аутентификации Active Directory для обхода MFA.

Запросы одноразовых паролей были зафиксированы во время вторжений, однако злоумышленники входили в систему без верификации, что указывает на скрытые сбои MFA.

Этот пробел в обнаружении может позволить уязвимым учетным записям VPN оставаться незамеченными в течение длительных периодов времени.

Обнаружение основано на выявлении конкретных типов сессий в журналах аутентификации, в частности «sess= CLI», что указывает на автоматизированные входы в систему.

Организациям рекомендуется выполнить все шаги по устранению уязвимостей после обновлений прошивки, отслеживать несанкционированные типы сессий, блокировать уязвимые драйверы и проводить аудит привилегий учетных записей VPN.

Ожидается, что попытки эксплуатации уязвимости CVE-2024-12802 сохранятся из-за некорректно защищенных конфигураций VPN.

Проактивный подход к проверке устранения уязвимостей является необходимым для организаций, использующих затронутые устройства.

#ParsedReport #CompletenessHigh
22-05-2026

From edge appliance to enterprise compromise: Multi-stage Linux intrusion via F5 and Confluence

https://www.microsoft.com/en-us/security/blog/2026/05/22/from-edge-appliance-to-enterprise-compromise-multi-stage-linux-intrusion-via-f5-and-confluence/

Report completeness: High

Threats:
Nmap_tool
Gowitness_tool
Netexec_tool
Kerbrute_tool
Petitpotam_vuln
Aitm_technique

Victims:
Firewall appliance, Linux server, Confluence server, Windows infrastructure, Active directory, Web applications, Mobile services

CVEs:
CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.21034)
- microsoft windows_10_1607 (<10.0.14393.8148)
- microsoft windows_10_1809 (<10.0.17763.7434)
- microsoft windows_10_21h2 (<10.0.19044.5965)
- microsoft windows_10_22h2 (<10.0.19045.5965)
have more...

TTPs:
Tactics: 10
Technics: 14

IOCs:
IP: 1
Url: 1
File: 2
Hash: 5

Soft:
Linux, Confluence, Microsoft Defender, Active Directory, BIG-IP, sudo, curl, Microsoft Defender for Endpoint, Unix

Algorithms:
base64

Languages:
python, java

Platforms:
arm

Links:
https://github.com/F5Networks/terraform-azure-bigip-module

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник использовал уязвимость в устаревшем балансировщике нагрузки F5 BIG-IP в Azure, получив доступ SSH к внутреннему хосту Linux с привилегированными учетными данными. Актор провел обширную разведку с использованием таких инструментов, как Nmap и HackTool:Linux/MalPack.B, что привело к эксплуатации уязвимого сервера Atlassian Confluence для Удаленного Выполнения Кода. Это обеспечило доступ к конфиденциальным учетным данным, позволив проводить атаки с ретрансляцией Kerberos и продемонстрировав, как внутренние уязвимости могут быть использованы за пределами прямого доступа через интернет.
-----

Описанный инцидент отражает тревожную тенденцию, при которой интернет-ориентированные периферийные устройства, в частности межсетевые экраны и VPN-шлюзы, служат начальными векторами кибератак. Злоумышленник использовал уязвимость в балансировщике нагрузки F5 BIG-IP, а именно в версии, работающей в среде Azure, которая достигла конца жизненного цикла (EOL), что указывает на критическую проблему безопасности из-за отсутствия дальнейшей поддержки таких устройств.

После компрометации устройства BIG-IP актор получил доступ по SSH к внутреннему хосту Linux с использованием привилегированной учетной записи. Этот доступ поддерживался без создания явных механизмов закрепления, что демонстрирует опасность, создаваемую избыточно привилегированными учетными записями, обладающими правами sudo. На протяжении всей атаки злоумышленник проявлял прямой контроль во время сеанса SSH, активно взаимодействуя с затронутыми системами.

Фаза разведки характеризовалась обширной активностью по перечислению и сканированию сети. Злоумышленник использовал такие инструменты, как Nmap и автоматизированные оболочки скриптов, для выявления подключенных устройств и служб в сети, применяя детальные сканирования для обнаружения служб HTTP/HTTPS и потенциальных целей. Инструмент, обозначенный как HackTool:Linux/MalPack.B, был отмечен за свою роль в разведке, которая заключалась в зондировании нескольких веб-приложений, взаимодействующих с скомпрометированным сервером, тем самым стремясь получить представление о контроле доступа.

Перемещение внутри компании произошло после выявления уязвимого сервера Atlassian Confluence в сети. Актор использовал уязвимости этого сервера для выполнения удаленного кода. Несмотря на то что попытки разместить вредоносные полезн

Этот инцидент подчеркивает, что уязвимые приложения не требуют прямого доступа из интернета, чтобы представлять серьезную угрозу безопасности. После получения первоначального доступа злоумышленники могут перемещаться внутри сети, нацеливаясь на доступные сервисы для повышения привилегий и более глубокого проникновения в организационные сети. Атака продемонстрировала несколько техник, соответствующих фреймворку MITRE ATT&CK, что подчеркивает необходимость бдительного мониторинга и стратегий смягчения последствий в условиях сложных киберугроз.

#ParsedReport #CompletenessMedium
22-05-2026

Decentralized Threat: Stealthy P2P Cryptominer Targeting Ollama Endpoints

https://www.akamai.com/blog/security-research/2026/may/stealthy-p2p-cryptominer-ollama-endpoints

Report completeness: Medium

Threats:
Upx_tool
Xmrig_miner
Supply_chain_technique

Victims:
Ollama endpoints, Artificial intelligence environments

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036.005, T1053.003, T1059.004, T1059.006, T1070.004, T1090, T1095, T1105, have more...

IOCs:
Url: 2
File: 2
Coin: 1
Hash: 3
Domain: 2

Soft:
Ollama, curl, supabase, WebRTC, crontab

Crypto:
monero

Functions:
exec

Languages:
python

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Криминалистический анализ выявил сложную атаку на приманку (honeypot) большой языковой модели, в ходе которой использовалось вредоносное ПО на языке Go под названием 'vc', функционирующее как Троянская программа для удаленного доступа и криптомайнер. Атака инициируется через API-запросы, направленные на конкретную конечную точку, и использует многокомпонентный механизм доставки с логикой переключения на резервный канал для загрузки вредоносного ПО. 'Vc' использует собственный P2P-протокол для уклонения от обнаружения, маскируется под поток ядра и обеспечивает закрепление, используя системные утилиты crontab, что подчеркивает сложности, связанные с децентрализованными архитектурами ВПО.
-----

В ходе недавнего криминалистический анализ расследования серии атак на специально созданный honeypot для больших языковых моделей была выявлена сложная угроза, использующая децентрализованное сетевое взаимодействие для уклонения. Основное ВПО, идентифицированное как бинарный файл на Go под названием 'vc', функционирует как Троянская программа (RAT) и загрузчик криптомайнера. Это ВПО выполняет команды с привилегиями владельца процесса Ollama и использует сжатие UPX, хотя стандартные инструменты UPX могут отменить эту защиту для анализа.

Атака инициируется через API-запросы к конечной точке `/api/create`, в частности, нацеленными на порт 11434. Первый payload атакующего пытается загрузить установочный скрипт под названием `i.sh`, который содержит логику резервного загрузчика. Этот скрипт пробует несколько методов — `curl`, `wget` и Python-скрипт — перед тем как загрузить бинарный файл `vc` в расположение в оперативной памяти (/dev/shm/.sys-update). После выполнения бинарный файл удаляется с диска, чтобы избежать обнаружения.

ВПО vc использует собственный протокол peer-to-peer (P2P), построенный на базе фреймворка libp2p, что позволяет ему обходить межсетевые экраны и барьеры NAT с использованием технологий, включая WebRTC и QUIC. Архитектура ВПО позволяет ему имитировать легитимные системные процессы — в частности, оно маскируется под поток ядра с именем `kworker`. Закрепление обеспечивается функцией hydraPersistence, которая добавляет задачу в crontab системы для периодического повторного внедрения.

ВПО функционирует как дроппер P2P-криптоминера с четко определенным путем выполнения. Сначала оно копирует себя в другое расположение на RAM-диске, затем размещает два дополнительных бинарных файла: один служит P2P-сетевым прокси, а другой действует как майнер Monero. Переименовывая свой процесс в `kworker-main`, оно дополнительно маскируется. Майнер запускает локальный прокси для маршрутизации трафика майнинга через децентрализованную P2P-сеть, эффективно обходя традиционные методы блокировки соединений. Оно ограничивает потребление ресурсов 50% ЦП, чтобы оставаться незамеченным.

Вредоносное ПО vc подчеркивает тревожную эволюцию в сегменте коммерческого ВПО, переходя от централизованных инфраструктур управления к децентрализованным системам, которые усложняют усилия по обнаружению и реагированию. Эксплуатируя уязвимости в Цепочке поставок и API, эта атака демонстрирует критическую необходимость изменений в стратегиях мониторинга безопасности. Защитникам рекомендуется сосредоточиться на анализе аномалий протоколов, особенно касающихся QUIC и неожиданного трафика WebSocket, вместо того чтобы полагаться исключительно на традиционные методы блокировки IP-адресов или доменов. Эта сложность в поведении вредоносного ПО подчеркивает насущную потребность в улучшенном поведенческом анализе для борьбы с продвинутыми, многогранными киберугрозами.

#ParsedReport #CompletenessMedium
22-05-2026

Help-Desk Lures Drop KongTuke's Evolved ModeloRAT

https://reliaquest.com/blog/threat-spotlight-help-desk-lures-drop-kongtukes-evolved-modelorat/

Report completeness: Medium

Threats:
Kongtuke
Modelorat
Clickfix_technique
Crashfix
Blackbasta
Pysoxy_tool
Winpython_tool

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1033, T1036.005, T1053.005, T1059.001, T1059.005, T1069.002, T1070.004, T1071.001, T1082, T1087.002, have more...

IOCs:
File: 6
Command: 3
Path: 2
Url: 2
Email: 1
IP: 6

Soft:
Microsoft Teams, WordPress, Slack, Zoom

Algorithms:
zip

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KongTuke, брокер первоначального доступа, использует Microsoft Teams для первоначального доступа, отходя от методов, ориентированных на веб. Они развертывают эволюционировавшее ВПО ModeloRAT с повышенной устойчивостью благодаря нескольким каналам управления и надежным механизмам закрепления, таким как ключи реестра и задачи на уровне SYSTEM, что усложняет устранение последствий. Применяя тактики социальной инженерии для имитации сотрудников службы поддержки, они обманом заставляют пользователей загружать вредоносные диагностические инструменты, демонстрируя быстро развертываемую точку входа в целевых средах.
-----

KongTuke, брокер первоначального доступа (IAB), мотивированный финансовой выгодой, эволюционировал в тактиках, используя внешние чаты Microsoft Teams в качестве средства получения первоначального доступа, что знаменует собой отход от его предыдущих подходов, ориентированных на веб. Этот переход позволяет группе использовать доверенный интерфейс инструментов совместной работы, облегчая злоумышленникам обман пользователей для развертывания их эволюционировавшего вредоносного ПО ModeloRAT. Новая вариация ModeloRAT демонстрирует повышенную устойчивость, имея три независимых канала управления (C2), что усложняет усилия по сдерживанию; если один канал прерван, другие остаются работоспособными. Набор инструментов может установить постоянный доступ в течение пяти минут после того, как жертва выполнит одну команду PowerShell, демонстрируя быстрый переход от первоначального контакта к укреплению позиций.

Выдавая себя за сотрудников службы поддержки, злоумышленники используют тактики социальной инженерии, чтобы убедить пользователей загрузить вредоносные диагностические инструменты, размещенные в ZIP-архивах на легитимных облачных хранилищах. После запуска этот инструмент инициализирует портативную среду WinPython и активирует сборщик разведки для сбора информации о хосте. Эти данные критически важны для злоумышленников, чтобы определить приоритетность последующих действий. Что касается закрепления, ModeloRAT использует несколько триггеров, включая ключи реестра Run, записи в папке Автозагрузка и загрузчики VBScript, что гарантирует возможность сохранения после стандартных попыток устранения последствий и поддержания foothold даже после перезагрузок. Кроме того, запланированная задача на уровне SYSTEM добавляет дополнительную долговечность, указывая на то, что простое удаление видимых компонентов вторжения не будет достаточным для эффективного устранения последствий.

Переход к использованию Microsoft Teams для первоначального доступа отражает более широкие тенденции среди злоумышленников, поскольку он обеспечивает точку входа с низким уровнем трения, которая часто подвергается меньшему контролю, чем традиционные каналы электронной почты. Ожидается, что эта стратегия проявится и на других платформах для совместной работы, что повышает необходимость для организаций переоценить свои позиции в области безопасности для инструментов внешней коммуникации. Командам безопасности рекомендуется внедрить более строгие контроль над внешней федерацией Teams и проактивно мониторить индикаторы активности ModeloRAT, в частности, обращая внимание на портативные установки Python в директориях AppData пользователей, что напрямую коррелирует с индикаторами компрометации этой кампании. Кроме того, полные аудиты всех механизмов закрепления имеют решающее значение перед объявлением хостов безопасными, чтобы убедиться, что не осталось никаких следов компрометации, которые могли бы позволить злоумышленнику восстановить доступ.

В заключение, эволюция тактик KongTuke свидетельствует о переходе к активным методам социальной инженерии, использующим современные платформы для совместной работы, в сочетании с продвинутым набором ВПО, предназначенным для закрепления и устойчивости к традиционным методам обнаружения и реагирования.