#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2024-12802 — это уязвимость обхода аутентификации в устройствах SonicWall Gen6 SSL VPN, которая позволяет злоумышленникам эксплуатировать конфигурации, не обеспечивающие многофакторную аутентификацию (MFA). Первый известный случай эксплуатации произошел с февраля по март 2026 года с использованием методов брутфорса для компрометации учетных данных VPN и обхода MFA без обнаружения. Злоумышленники используют такие инструменты, как Cobalt Strike, для управления, что указывает на то, что уязвимость представляет значительные риски для несанкционированного доступа и перемещения внутри компании в сетях.
-----

CVE-2024-12802 — это уязвимость обхода аутентификации в устройствах SonicWall SSL VPN, затрагивающая устройства поколения 6 (Gen6).

Существует прошивка-патч, однако организациям необходимо выполнить шесть критических шагов ручной перенастройки для полной защиты.

Эксплуатация данной уязвимости активно происходит, несмотря на то, что устройства отображаются как защищённые в системах управления уязвимостями.

Первый известный случай эксплуатации произошел в период с февраля по март 2026 года с использованием методов брутфорса для компрометации учетных данных VPN и обхода многофакторной аутентификации (MFA).

Злоумышленники могли быстро получить доступ к внутренним сетям, часто достигая перемещение внутри компании к файловым серверам менее чем за 40 минут после аутентификации.

Бекдоры Cobalt Strike использовались во время вторжений, что указывает на потенциальные связи с группами вымогателей.

Атакующие использовали отсутствие защиты в одном из двух форматов аутентификации Active Directory для обхода MFA.

Запросы одноразовых паролей были зафиксированы во время вторжений, однако злоумышленники входили в систему без верификации, что указывает на скрытые сбои MFA.

Этот пробел в обнаружении может позволить уязвимым учетным записям VPN оставаться незамеченными в течение длительных периодов времени.

Обнаружение основано на выявлении конкретных типов сессий в журналах аутентификации, в частности «sess= CLI», что указывает на автоматизированные входы в систему.

Организациям рекомендуется выполнить все шаги по устранению уязвимостей после обновлений прошивки, отслеживать несанкционированные типы сессий, блокировать уязвимые драйверы и проводить аудит привилегий учетных записей VPN.

Ожидается, что попытки эксплуатации уязвимости CVE-2024-12802 сохранятся из-за некорректно защищенных конфигураций VPN.

Проактивный подход к проверке устранения уязвимостей является необходимым для организаций, использующих затронутые устройства.

#ParsedReport #CompletenessHigh
22-05-2026

From edge appliance to enterprise compromise: Multi-stage Linux intrusion via F5 and Confluence

https://www.microsoft.com/en-us/security/blog/2026/05/22/from-edge-appliance-to-enterprise-compromise-multi-stage-linux-intrusion-via-f5-and-confluence/

Report completeness: High

Threats:
Nmap_tool
Gowitness_tool
Netexec_tool
Kerbrute_tool
Petitpotam_vuln
Aitm_technique

Victims:
Firewall appliance, Linux server, Confluence server, Windows infrastructure, Active directory, Web applications, Mobile services

CVEs:
CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.21034)
- microsoft windows_10_1607 (<10.0.14393.8148)
- microsoft windows_10_1809 (<10.0.17763.7434)
- microsoft windows_10_21h2 (<10.0.19044.5965)
- microsoft windows_10_22h2 (<10.0.19045.5965)
have more...

TTPs:
Tactics: 10
Technics: 14

IOCs:
IP: 1
Url: 1
File: 2
Hash: 5

Soft:
Linux, Confluence, Microsoft Defender, Active Directory, BIG-IP, sudo, curl, Microsoft Defender for Endpoint, Unix

Algorithms:
base64

Languages:
python, java

Platforms:
arm

Links:
https://github.com/F5Networks/terraform-azure-bigip-module

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник использовал уязвимость в устаревшем балансировщике нагрузки F5 BIG-IP в Azure, получив доступ SSH к внутреннему хосту Linux с привилегированными учетными данными. Актор провел обширную разведку с использованием таких инструментов, как Nmap и HackTool:Linux/MalPack.B, что привело к эксплуатации уязвимого сервера Atlassian Confluence для Удаленного Выполнения Кода. Это обеспечило доступ к конфиденциальным учетным данным, позволив проводить атаки с ретрансляцией Kerberos и продемонстрировав, как внутренние уязвимости могут быть использованы за пределами прямого доступа через интернет.
-----

Описанный инцидент отражает тревожную тенденцию, при которой интернет-ориентированные периферийные устройства, в частности межсетевые экраны и VPN-шлюзы, служат начальными векторами кибератак. Злоумышленник использовал уязвимость в балансировщике нагрузки F5 BIG-IP, а именно в версии, работающей в среде Azure, которая достигла конца жизненного цикла (EOL), что указывает на критическую проблему безопасности из-за отсутствия дальнейшей поддержки таких устройств.

После компрометации устройства BIG-IP актор получил доступ по SSH к внутреннему хосту Linux с использованием привилегированной учетной записи. Этот доступ поддерживался без создания явных механизмов закрепления, что демонстрирует опасность, создаваемую избыточно привилегированными учетными записями, обладающими правами sudo. На протяжении всей атаки злоумышленник проявлял прямой контроль во время сеанса SSH, активно взаимодействуя с затронутыми системами.

Фаза разведки характеризовалась обширной активностью по перечислению и сканированию сети. Злоумышленник использовал такие инструменты, как Nmap и автоматизированные оболочки скриптов, для выявления подключенных устройств и служб в сети, применяя детальные сканирования для обнаружения служб HTTP/HTTPS и потенциальных целей. Инструмент, обозначенный как HackTool:Linux/MalPack.B, был отмечен за свою роль в разведке, которая заключалась в зондировании нескольких веб-приложений, взаимодействующих с скомпрометированным сервером, тем самым стремясь получить представление о контроле доступа.

Перемещение внутри компании произошло после выявления уязвимого сервера Atlassian Confluence в сети. Актор использовал уязвимости этого сервера для выполнения удаленного кода. Несмотря на то что попытки разместить вредоносные полезн

Этот инцидент подчеркивает, что уязвимые приложения не требуют прямого доступа из интернета, чтобы представлять серьезную угрозу безопасности. После получения первоначального доступа злоумышленники могут перемещаться внутри сети, нацеливаясь на доступные сервисы для повышения привилегий и более глубокого проникновения в организационные сети. Атака продемонстрировала несколько техник, соответствующих фреймворку MITRE ATT&CK, что подчеркивает необходимость бдительного мониторинга и стратегий смягчения последствий в условиях сложных киберугроз.

#ParsedReport #CompletenessMedium
22-05-2026

Decentralized Threat: Stealthy P2P Cryptominer Targeting Ollama Endpoints

https://www.akamai.com/blog/security-research/2026/may/stealthy-p2p-cryptominer-ollama-endpoints

Report completeness: Medium

Threats:
Upx_tool
Xmrig_miner
Supply_chain_technique

Victims:
Ollama endpoints, Artificial intelligence environments

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036.005, T1053.003, T1059.004, T1059.006, T1070.004, T1090, T1095, T1105, have more...

IOCs:
Url: 2
File: 2
Coin: 1
Hash: 3
Domain: 2

Soft:
Ollama, curl, supabase, WebRTC, crontab

Crypto:
monero

Functions:
exec

Languages:
python

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Криминалистический анализ выявил сложную атаку на приманку (honeypot) большой языковой модели, в ходе которой использовалось вредоносное ПО на языке Go под названием 'vc', функционирующее как Троянская программа для удаленного доступа и криптомайнер. Атака инициируется через API-запросы, направленные на конкретную конечную точку, и использует многокомпонентный механизм доставки с логикой переключения на резервный канал для загрузки вредоносного ПО. 'Vc' использует собственный P2P-протокол для уклонения от обнаружения, маскируется под поток ядра и обеспечивает закрепление, используя системные утилиты crontab, что подчеркивает сложности, связанные с децентрализованными архитектурами ВПО.
-----

В ходе недавнего криминалистический анализ расследования серии атак на специально созданный honeypot для больших языковых моделей была выявлена сложная угроза, использующая децентрализованное сетевое взаимодействие для уклонения. Основное ВПО, идентифицированное как бинарный файл на Go под названием 'vc', функционирует как Троянская программа (RAT) и загрузчик криптомайнера. Это ВПО выполняет команды с привилегиями владельца процесса Ollama и использует сжатие UPX, хотя стандартные инструменты UPX могут отменить эту защиту для анализа.

Атака инициируется через API-запросы к конечной точке `/api/create`, в частности, нацеленными на порт 11434. Первый payload атакующего пытается загрузить установочный скрипт под названием `i.sh`, который содержит логику резервного загрузчика. Этот скрипт пробует несколько методов — `curl`, `wget` и Python-скрипт — перед тем как загрузить бинарный файл `vc` в расположение в оперативной памяти (/dev/shm/.sys-update). После выполнения бинарный файл удаляется с диска, чтобы избежать обнаружения.

ВПО vc использует собственный протокол peer-to-peer (P2P), построенный на базе фреймворка libp2p, что позволяет ему обходить межсетевые экраны и барьеры NAT с использованием технологий, включая WebRTC и QUIC. Архитектура ВПО позволяет ему имитировать легитимные системные процессы — в частности, оно маскируется под поток ядра с именем `kworker`. Закрепление обеспечивается функцией hydraPersistence, которая добавляет задачу в crontab системы для периодического повторного внедрения.

ВПО функционирует как дроппер P2P-криптоминера с четко определенным путем выполнения. Сначала оно копирует себя в другое расположение на RAM-диске, затем размещает два дополнительных бинарных файла: один служит P2P-сетевым прокси, а другой действует как майнер Monero. Переименовывая свой процесс в `kworker-main`, оно дополнительно маскируется. Майнер запускает локальный прокси для маршрутизации трафика майнинга через децентрализованную P2P-сеть, эффективно обходя традиционные методы блокировки соединений. Оно ограничивает потребление ресурсов 50% ЦП, чтобы оставаться незамеченным.

Вредоносное ПО vc подчеркивает тревожную эволюцию в сегменте коммерческого ВПО, переходя от централизованных инфраструктур управления к децентрализованным системам, которые усложняют усилия по обнаружению и реагированию. Эксплуатируя уязвимости в Цепочке поставок и API, эта атака демонстрирует критическую необходимость изменений в стратегиях мониторинга безопасности. Защитникам рекомендуется сосредоточиться на анализе аномалий протоколов, особенно касающихся QUIC и неожиданного трафика WebSocket, вместо того чтобы полагаться исключительно на традиционные методы блокировки IP-адресов или доменов. Эта сложность в поведении вредоносного ПО подчеркивает насущную потребность в улучшенном поведенческом анализе для борьбы с продвинутыми, многогранными киберугрозами.

#ParsedReport #CompletenessMedium
22-05-2026

Help-Desk Lures Drop KongTuke's Evolved ModeloRAT

https://reliaquest.com/blog/threat-spotlight-help-desk-lures-drop-kongtukes-evolved-modelorat/

Report completeness: Medium

Threats:
Kongtuke
Modelorat
Clickfix_technique
Crashfix
Blackbasta
Pysoxy_tool
Winpython_tool

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1033, T1036.005, T1053.005, T1059.001, T1059.005, T1069.002, T1070.004, T1071.001, T1082, T1087.002, have more...

IOCs:
File: 6
Command: 3
Path: 2
Url: 2
Email: 1
IP: 6

Soft:
Microsoft Teams, WordPress, Slack, Zoom

Algorithms:
zip

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KongTuke, брокер первоначального доступа, использует Microsoft Teams для первоначального доступа, отходя от методов, ориентированных на веб. Они развертывают эволюционировавшее ВПО ModeloRAT с повышенной устойчивостью благодаря нескольким каналам управления и надежным механизмам закрепления, таким как ключи реестра и задачи на уровне SYSTEM, что усложняет устранение последствий. Применяя тактики социальной инженерии для имитации сотрудников службы поддержки, они обманом заставляют пользователей загружать вредоносные диагностические инструменты, демонстрируя быстро развертываемую точку входа в целевых средах.
-----

KongTuke, брокер первоначального доступа (IAB), мотивированный финансовой выгодой, эволюционировал в тактиках, используя внешние чаты Microsoft Teams в качестве средства получения первоначального доступа, что знаменует собой отход от его предыдущих подходов, ориентированных на веб. Этот переход позволяет группе использовать доверенный интерфейс инструментов совместной работы, облегчая злоумышленникам обман пользователей для развертывания их эволюционировавшего вредоносного ПО ModeloRAT. Новая вариация ModeloRAT демонстрирует повышенную устойчивость, имея три независимых канала управления (C2), что усложняет усилия по сдерживанию; если один канал прерван, другие остаются работоспособными. Набор инструментов может установить постоянный доступ в течение пяти минут после того, как жертва выполнит одну команду PowerShell, демонстрируя быстрый переход от первоначального контакта к укреплению позиций.

Выдавая себя за сотрудников службы поддержки, злоумышленники используют тактики социальной инженерии, чтобы убедить пользователей загрузить вредоносные диагностические инструменты, размещенные в ZIP-архивах на легитимных облачных хранилищах. После запуска этот инструмент инициализирует портативную среду WinPython и активирует сборщик разведки для сбора информации о хосте. Эти данные критически важны для злоумышленников, чтобы определить приоритетность последующих действий. Что касается закрепления, ModeloRAT использует несколько триггеров, включая ключи реестра Run, записи в папке Автозагрузка и загрузчики VBScript, что гарантирует возможность сохранения после стандартных попыток устранения последствий и поддержания foothold даже после перезагрузок. Кроме того, запланированная задача на уровне SYSTEM добавляет дополнительную долговечность, указывая на то, что простое удаление видимых компонентов вторжения не будет достаточным для эффективного устранения последствий.

Переход к использованию Microsoft Teams для первоначального доступа отражает более широкие тенденции среди злоумышленников, поскольку он обеспечивает точку входа с низким уровнем трения, которая часто подвергается меньшему контролю, чем традиционные каналы электронной почты. Ожидается, что эта стратегия проявится и на других платформах для совместной работы, что повышает необходимость для организаций переоценить свои позиции в области безопасности для инструментов внешней коммуникации. Командам безопасности рекомендуется внедрить более строгие контроль над внешней федерацией Teams и проактивно мониторить индикаторы активности ModeloRAT, в частности, обращая внимание на портативные установки Python в директориях AppData пользователей, что напрямую коррелирует с индикаторами компрометации этой кампании. Кроме того, полные аудиты всех механизмов закрепления имеют решающее значение перед объявлением хостов безопасными, чтобы убедиться, что не осталось никаких следов компрометации, которые могли бы позволить злоумышленнику восстановить доступ.

В заключение, эволюция тактик KongTuke свидетельствует о переходе к активным методам социальной инженерии, использующим современные платформы для совместной работы, в сочетании с продвинутым набором ВПО, предназначенным для закрепления и устойчивости к традиционным методам обнаружения и реагирования.

#ParsedReport #CompletenessMedium
22-05-2026

Fast and Furious – Nimbus Manticore Operations During the Iranian Conflict

https://research.checkpoint.com/2026/fast-and-furious-nimbus-manticore-operations-during-the-iranian-conflict/

Report completeness: Medium

Actors/Campaigns:
Tortoiseshell
Irgc

Threats:
Minifast
Seo_poisoning_technique
Minijunk
Appdomain_hijacking_technique
Dll_sideloading_technique

Victims:
Aviation, Software, Defense, Telecommunications, Europe, Middle east, Africa, Israel, United arab emirates, United states, have more...

Industry:
Military, Telco, Software_development, Aerospace

Geo:
Israeli, Saudi arabia, Iran, United arab emirates, Australia, Arab emirates, Africa, Israel, Iranian, Middle east

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1033, T1036, T1041, T1053.005, T1057, T1059.003, T1071.001, T1082, T1083, have more...

IOCs:
Hash: 27
Domain: 25
File: 15
Path: 2
Command: 2

Soft:
Zoom, OnlyOffice, Chrome

Algorithms:
base64, zip, sha256

Functions:
TaskDescriptor, TaskRecord, taskId, taskIdLen, GetUserName

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 3, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Nimbus Manticore, иранский злоумышленник, расширил свои кибервозможности, в частности, путем развертывания ВПО через Отравление поисковой оптимизации (SEO) и внедрения нового бэкдора под названием MiniFast. Этот бэкдор функционирует как 64-битная Windows PE DLL для постоянного выполнения команд, взаимодействуя со своей инфраструктурой C2 с использованием JSON. Использование группой перехвата AppDomain с легитимными приложениями, такими как модифицированный установщик Zoom, демонстрирует тактическую изощренность и соответствие стратегическим целям IRGC на фоне продолжающихся геополитических напряжений.
-----

Nimbus Manticore, злоумышленник, связанный с Корпусом стражей исламской революции (IRGC), появился вновь на фоне геополитической напряженности, особенно во время военной операции США «Epic Fury», направленной против Ирана. Эта группа приняла передовые методы и расширила возможности, включая использование вредоносных приманок, имитирующих авторитетные организации в сфере авиации и программного обеспечения. Примечательно, что они впервые применили Отравление поисковой оптимизации (SEO) как метод доставки ВПО, стремясь повысить видимость и заманить жертв на вредоносные загрузки.

Значительным нововведением этой кампании стало появление ранее не документированного бэкдора под названием MiniFast. Данный бэкдор, по-видимому, использует практики разработки с поддержкой искусственного интеллекта, что указывает на то, что злоумышленник эволюционирует свой инструментарий, чтобы воспользоваться современными стратегиями разработки. Эта адаптивность позволяет осуществлять быструю разработку и обновление своего ВПО в ответ на изменение оперативной обстановки. В ходе операции Nimbus Manticore провела фишинговую кампанию с использованием троянизированных установщиков, включая модифицированный установщик Zoom. Тактика заключалась в злоупотреблении стандартным процессом установки оригинального приложения для создания бесшовной, но коварной цепочки заражения.

Оперативные техники, применяемые группировкой Nimbus Manticore, включали перехват AppDomain — метод, позволяющий злоумышленникам загружать вредоносный код через легитимные приложения. Размещая вредоносные конфигурационные файлы рядом с безобидным программным обеспечением, они инициировали выполнение ВПО, не вызывая немедленного подозрения. В частности, цепочка заражения начиналась с Setup.exe — легитимного исполняемого файла с подписью Microsoft, который в процессе перехвата выполнял загрузчик первого этапа (InitInstall.dll). Этот загрузчик затем переходил ко второму этапу (Updater.dll), который в конечном итоге развертывал финальный полезный груз, MiniFast.

MiniFast — это 64-битная Windows PE DLL, разработанная как комплексный бэкдор для длительного закрепления и выполнения команд. Он использует архитектуру на основе API для взаимодействия с инфраструктурой управления (C2), обмениваясь командами и ответами в формате JSON. Этот бэкдор структурирован так, чтобы сливаться с легальным сетевым трафиком, имитируя строку User-Agent браузера Chrome, тем самым снижая риск обнаружения.

В ходе операции Nimbus Manticore продемонстрировала впечатляющую устойчивость и адаптивность, показав способности поддерживать инфраструктуру и разрабатывать новое программное обеспечение, несмотря на возникшие трудности. Использование разработки с помощью ИИ стало все более очевидным, что отражается в системном подходе к проектированию и выполнению ВПО. Фокус актора на критических секторах, особенно в авиационной и оборонной отраслях, согласуется с более широкими разведывательными целями IRGC, что указывает на стратегический замысел, стоящий за их кибероперациями.

По мере развития конфликта на Ближнем Востоке Nimbus Manticore остаётся значимой угрозой благодаря своим сложным методологиям и манёвренности в развёртывании передовых кибертактик, что подчёркивает опасное пересечение геополитического конфликта и кибервойны.

#ParsedReport #CompletenessMedium
22-05-2026

ClickFix Evolves with PySoxy Proxying

https://reliaquest.com/blog/threat-spotlight-clickfix-evolves-with-pysoxy-proxying/

Report completeness: Medium

Threats:
Clickfix_technique
Pysoxy_tool
Ai-clickfix_technique
Socgholish_loader

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 4
Command: 1
IP: 4
Path: 2
Url: 2
Domain: 3

Soft:
curl, Node.js

Functions:
taskId

Languages:
perl, cscript, powershell, python, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники усовершенствовали киберугрозу ClickFix, используя запланированные задачи для закрепления и SOCKS5-прокси PySoxy для зашифрованного доступа, перейдя к модульной технике постэксплуатации. Внедрение начинается с команды PowerShell, запущенной в результате социальной инженерии, которая обеспечивает закрепление, позволяя осуществлять удаленный доступ и разведку с помощью встроенных инструментов Windows для оценки среды перед развертыванием прокси PySoxy. Этот прокси выполняется из нестандартного каталога, чтобы скрыть свою активность, что указывает на целенаправленную и организованную стратегию злоумышленников.
-----

Наблюдается новое развитие киберугрозы ClickFix, при котором злоумышленники используют комбинацию запланированных задач для закрепления и PySoxy — десятилетней давности открытого SOCKS5-прокси — для создания зашифрованного прокси-доступа. Этот новый подход знаменует собой отход от традиционного однократного события выполнения, характерного для тактик ClickFix, что позволяет реализовать то, что можно назвать модульной постэксплуатацией. Используя PySoxy, злоумышленники получают дополнительный метод доступа через зашифрованное управление, избегая зависимости от известных ВПО и инструментов удаленного мониторинга.

Внедрение начинается с того, что пользователь выполняет看似 безобидную команду PowerShell в результате социальной инженерии, что запускает цепочку событий, обеспечивающих закрепление через запланированные задачи. Эти запланированные задачи гарантируют, что даже если исходящие подключения к инфраструктуре злоумышленника заблокированы, атака может продолжаться за счет повторных попыток выполнения. Скрипт PowerShell функционирует не только как загрузчик, но и как легковесный инструмент удаленного доступа, способный опрашивать наличие команд и позволять злоумышленнику поддерживать активную сессию с скомпрометированным хостом.

Атака включает разведку после первоначального выполнения, где встроенные инструменты Windows используются для оценки скомпрометированной среды — сбора информации, такой как членство в группах, роли в домене и идентификация потенциальных целей. Эта разведка закладывает основу для развертывания прокси PySoxy, который повышает оперативную гибкость атакующего, создавая второй канал доступа.

При внедрении PySoxy он выполняется из нестандартного каталога, а его работа искусно маскируется под рутинную активность Python. Злоумышленники обеспечивают доступность необходимой инфраструктуры перед развертыванием этого дополнительного слоя. Выполнение происходит сразу после операций PowerShell и настройки запланированных задач, что указывает на тщательно спланированную стратегию, а не на оппортунистические действия.

Для защитников вызов, который представляет этот метод атаки, является значительным. Наличие запланированной задачи означает, что завершение действий по динамическому сдерживанию угроз не может опираться исключительно на обнаружение и блокировку первоначального обратного вызова. Защитные меры должны включать изоляцию скомпрометированных хостов, проверку запланированных задач и поиск аномальных выполнений команд Python, особенно тех, которые связаны с поведением, характерным для прокси. Фокус исключительно на заблокированных соединениях не решает проблему механизмов закрепления, которые поддерживают работу атаки.

#ParsedReport #CompletenessLow
22-05-2026

ShinyHunters Delivers Outsized Impact

https://reliaquest.com/blog/threat-spotlight-ransomware-and-cyber-extortion-in-q1-2026/

Report completeness: Low

Actors/Campaigns:
Shinyhunters (motivation: financially_motivated, information_theft)
Gentlemen_ransomware
Alp-001 (motivation: financially_motivated, information_theft)

Threats:
Aitm_technique
Akira_ransomware
Qilin_ransomware
0apt_syndicate
Supply_chain_technique
Ransomhub
Blackcat
Disabling_antivirus_technique
Inc_ransomware
Credential_harvesting_technique

Victims:
Large enterprises, Legal services, Law firms, Critical infrastructure, Health care, Finance, Banking, Manufacturing, United states, India, have more...

Industry:
Financial, Critical_infrastructure, Healthcare

Geo:
Thailand, India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1021.002, T1078, T1078.004, T1098, T1133, T1190, T1213, T1484.001, T1557, have more...

Soft:
Salesforce, Linux, ESXi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShinyHunters стали одним из наиболее значимых акторов угроз в 2026 году, используя intrusion-операции, ориентированные на компрометацию цифровых идентичностей (identity-first intrusions), а также SaaS-native методы хищения данных. Основной фокус группы — кража данных и вымогательство без применения традиционных ransomware-тактик.

В качестве основных векторов первоначального доступа злоумышленники используют vishing-атаки с применением подмены Caller ID и фишинговых сайтов. В результате ими было развернуто около 500 фишинговых доменов, а учетные данные жертв похищались с использованием техник adversary-in-the-middle (AiTM).

Группа также эксплуатирует ошибки конфигурации в таких платформах, как Salesforce, компрометируя учетные записи и извлекая чувствительную информацию через API и механизмы массовой выгрузки данных. Активность ShinyHunters подчеркивает необходимость повышенной бдительности и адаптации защитных мер к их постоянно эволюционирующим тактикам.-----

ShinyHunters стал значимым злоумышленником в первом квартале 2026 года, используя атаки с первичным захватом учётных данных и методы кражи данных, характерные для SaaS-среды.

Группа сосредоточена на краже данных и вымогательстве, не развертывая вредоносные шифровальщики, и нацелена на среды с ограниченной видимостью безопасности.

Основные методы доступа включают атаки vishing, при которых злоумышленники выдают себя за сотрудников службы технической поддержки IT для получения учетных данных.

Они используют поддельные Caller ID и фишинг-сайты, имитирующие доверенные сервисы, что помогает им обходить корпоративные меры безопасности.

Обнаружено около 500 фишинг-доменов, связанных с ShinyHunters, что увеличивает их доступ к бизнес-данным.

Техники «злоумышленник посередине» (AiTM) используются для быстрого захвата учётных данных и доступа к устройствам многофакторной аутентификации (MFA).

Попав внутрь, они используют подключения единого входа (SSO) для доступа к таким платформам, как Salesforce и SharePoint, извлекая конфиденциальную информацию через API или массовые загрузки.

ShinyHunters неправильно настраивает Salesforce Experience Cloud с модифицированным инструментом AuraInspector для взлома сотен учетных записей без взаимодействия с пользователем.

Другие группировки вымогателей, такие как Akira и Qilin, продолжают свою деятельность, в то время как новые акторы, такие как хакерская группировка The Gentlemen, демонстрируют повышенную активность.

0APT и ALP-001 — сомнительные сайты утечек, оказывающие давление на предприятия с потенциально сфабрикованными утверждениями.

Организациям рекомендуется усилить киберзащиту от компрометации идентификации, эксплуатации внешних сервисов и латерального перемещения через административные протоколы.

Рекомендуется внедрение надежных политик доступа, повышение осведомленности о рисках, связанных с фишингом через голосовую связь (vishing), а также активный мониторинг журналов SaaS на предмет необычной активности.

Давление со стороны программ-вымогателей сместилось: организациям необходимо быстро проверять вымогательские требования, одновременно адаптируя защиту к эволюционирующим тактикам.

Проактивные меры должны быть сосредоточены на поведении, способствующем проникновению, а не только на выявлении злоумышленников, чтобы повысить устойчивость к постоянным угрозам программ-вымогателей.