#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 4, code: 7, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи Cato CTRL выявили фишинговую кампанию, направленную против бразильских организаций, особенно в секторах химической промышленности и передовых материалов, которая заманивает жертв поддельными деловыми документами, ведущими к установке агента NinjaOne Remote Monitoring and Management (RMM). Злоумышленники используют знакомые деловые практики и разрабатывают фишинговые письма, которые направляют пользователей на обманные португалоязычные целевые страницы, похожие на доверенные порталы. Кампания демонстрирует использование легитимного программного обеспечения для несанкционированного удаленного доступа, опираясь на социальную инженерию и техники антианализа для повышения эффективности и снижения обнаружения.
-----

Фишинговая кампания направлена против бразильских организаций, особенно в таких секторах, как химическая промышленность и передовые материалы.

В рамках кампании используются приманки в виде поддельных бизнес-документов для установки легитимного агента NinjaOne Remote Monitoring and Management (RMM).

Фишинговые письма перенаправляют пользователей на португалоязычные целевые страницы, имитирующие доверенные порталы для безопасной доставки документов.

Ссылки в фишинговых письмах скрыты за маршрутом перенаправления на основе Googleusercontent, что усложняет усилия по отслеживанию.

Жертв перенаправляют на порталы, ссылающиеся на широко известные бразильские сервисы, связанные с налоговыми документами и жалобами клиентов.

Агент NinjaOne RMM замаскирован под загрузку документа, но вместо этого устанавливает установщик, предоставляющий злоумышленникам удаленный доступ.

Атакующие демонстрируют глубокое понимание бразильской бизнес-культуры, согласуя свою фишинговую стратегию с ожидаемыми профессиональными активностями.

Инфраструктура включает функции противодействия анализу, такие как сбор отпечатков браузера и геофенсинг, для целевой работы только с IP-адресами из Бразилии.

Различные фишинг-опыты, основанные на IP-локации, могут дополнительно защитить операцию от анализа.

Существуют потенциальные связи с ранее наблюдаемыми активностями, связанными с RAT Venon, что указывает на использование общих ресурсов в бразильском ландшафте киберкриминала.

Кампания подчеркивает риски, связанные с злоупотреблением легитимными инструментами, такими как NinjaOne, что перекликается с предупреждениями организаций в области кибербезопасности относительно неправомерного использования платформ удаленного управления.

Атака иллюстрирует тенденцию к использованию социальной инженерии и легитимного программного обеспечения, а не развертывания традиционного ВПО для несанкционированного удаленного доступа.

#ParsedReport #CompletenessLow
09-06-2026

Residential Proxies in the Wild

https://www.infoblox.com/blog/threat-intelligence/residential-proxies-in-the-wild/

Report completeness: Low

Threats:
Residential_proxy_technique
Kimwolf
Ipidea

Victims:
Enterprise, Pharmaceutical, Food and beverage, Government, Banking, Education, Electronics, Industrial, Healthcare

Industry:
Financial, Healthcare, Iot, Media, Energy, Government, Foodtech, Education, Software_development

ChatGPT TTPs:
do not use without manual check
T1046, T1090, T1176, T1496

IOCs:
Domain: 1

Soft:
Android

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Растущее использование домашних прокси-серверов в корпоративных сетях создает значительные риски для безопасности, поскольку более 65% клиентов Infoblox Threat Defense Cloud взаимодействовали с такими доменами, что усложняет атрибуцию и может нанести ущерб репутации. Злоумышленники используют эти прокси-серверы для уклонения от обнаружения при совершении вредоносных действий, которые трудно отличить от легитимного трафика. Растущий спрос, особенно на веб-скрапинг, усугубляет проблему, при этом наблюдаются заметные всплески DNS-запросов, связанных с этими прокси-серверами, на фоне опасений по поводу несанкционированных сервисов, проникающих в различные сектора.
-----

Распространение домашних прокси-серверов в корпоративных сетях становится все более тревожным, о чем свидетельствуют данные Infoblox, согласно которым более 65% клиентов Threat Defense Cloud взаимодействовали с доменами, связанными с сетями домашних прокси-серверов. Широкое использование таких прокси-серверов вызывает серьезные опасения в отношении безопасности сети и усилий по реагированию на инциденты, поскольку злоупотребления, совершаемые через домашние прокси-серверы, могут вовлекать невиновные организации в качестве злоумышленников, усложняя процесс атрибуции и нанося потенциальный ущерб репутации.

Резидентские прокси, которые перенаправляют интернет-трафик через устройства обычных потребителей, позволяют злоумышленникам избегать систем репутации IP-адресов и обходить меры обнаружения мошенничества. Такие прокси создают «отмытый» трафик, который может снижать количество предупреждений безопасности, поскольку вредоносные действия смешиваются с легитимной деятельностью потребителей. Многие прокси могут устанавливаться без согласия, часто встроенные в приложения или устройства без ведома пользователя, что аналогично криптоджекингу, при котором компрометируется пропускная способность и пространство IP-адресов, а не вычислительные мощности.

Анализ DNS-трафика от Infoblox указывает на устойчивый рост запросов к доменам резидентных прокси, увеличившийся более чем на 25% с января 2025 года по апрель 2026 года. Этот всплеск частично объясняется растущим спросом, обусловленным веб-скрапингом для обучения моделей искусственного интеллекта, где резидентные прокси предпочтительны из-за их способности к Имперсонация реального пользовательского трафика. Примечательно, что инцидент с отключением сервиса IPIDEA в январе 2026 года сопровождался значительным ростом на 265% числа затронутых клиентских сетей, что свидетельствует об усилении активности и потенциальном хаосе в экосистеме прокси.

Анализ Infoblox подчеркивает растущее влияние крупных провайдеров домашних прокси-серверов, при этом такие сервисы, как Brightdata и Oxylabs, доминируют на рынке, а другие, такие как Hola и Honeygain, встраивают прокси-функциональность в бесплатные приложения. В различных отраслях растут опасения, поскольку более 90% организаций в фармацевтическом секторе и секторе продуктов питания и напитков, а также более 60% в банковском и государственном секторах взаимодействовали с этими несанкционированными сервисами. Такое широкое распространение требует стратегического подхода со стороны организаций, склонных к минимизации рисков; рекомендуется внедрять Защитный DNS для мониторинга и блокировки этих прокси-серверов в сетях, а также проводить тщательные оценки журналов DNS-запросов и установленных приложений.

В конечном итоге, в отчете подчеркивается насущная необходимость повышения видимости и принятия проактивных мер для снижения рисков, связанных с использованием резидентных прокси-серверов, поскольку их присутствие может быть не столь безобидным, как кажется, и часто находится в серой зоне с точки зрения этического использования и потенциально злонамеренных намерений.

#ParsedReport #CompletenessLow
10-06-2026

APT-C-08 (Manlinghua) Recent Phishing Attack Campaign Analysis

https://www.ctfiot.com/310428.html

Report completeness: Low

Actors/Campaigns:
Bitter

Threats:
Steganography_technique

Victims:
Government, Defense, Education, Foreign affairs, Enterprises

Industry:
Government, Education, Military

Geo:
Asia, Asian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.003, T1059.005, T1105, T1566.002

IOCs:
Hash: 1
File: 2
IP: 1

Soft:
LiteSpeed

Algorithms:
zip, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-08, известный как Manlinghua, — это злоумышленник, базирующийся в Южной Азии, который нацелен на правительственные и военные сектора, применяя передовые тактики фишинга для компрометации жертв. Их недавние кампании включают обманные веб-сайты для сбора учетных данных и распространения ВПО, в основном используя скрипты VBS, которые настраивают системы управления и применяют Стеганографию для уклонения от обнаружения. Настойчивые тактики группы подчеркивают продолжающуюся киберугрозу в регионе, используя социальную инженерию и технические навыки для поддержания несанкционированного доступа к чувствительным системам.
-----

APT-C-08, также известный как Manlinghua, — это сложный злоумышленник с правительственными связями, базирующийся в Южной Азии, который активно нацеливается на соседние страны в последние годы. Эта группа проявляет сильный интерес к вторжениям, связанным с государственными органами, военными секторами, университетами и зарубежными организациями. Последний анализ выявил рост фишинговых кампаний, организованных Manlinghua, которые используют обманные тактики для сбора учетных данных и развертывания ВПО.

Недавняя фишинг-активность включает распространение веб-сайтов, созданных на базе технологии LiteSpeed Web. Эти сайты используют двухпутевой подход: один из них маскируется под знакомый почтовый сервис, а именно сайт 163.com, чтобы обманом заставить жертв невольно раскрыть свои учетные данные электронной почты. Другой путь служит порталом для загрузки, где жертва невольно скачивает вредоносные VBS-скрипты. Эти скрипты предназначены для настройки нескольких элементов, включая адреса управления (C2), запланированные задачи и пути к документам-приманкам, тем самым обеспечивая успешную компрометацию целевой системы.

При выполнении вредоносные скрипты демонстрируют поведение, соответствующее установленным тактикам, техникам и процедурам (TTPs), связанным с Manlinghua. Например, скрипты запрограммированы на резервное копирование вредоносных файлов в нескольких местах на зараженном устройстве, что дополнительно укрепляет закрепление угрозы. Примечательно, что основная функция одного из скриптов, идентифицированного как vps_transfer.ps1, использует Стеганографию, что позволяет вредоносной нагрузке избегать обнаружения.

Текущая кампания тесно связана с предыдущими методологиями, применяемыми группировкой Manlinghua, что демонстрирует способность группы адаптироваться и эффективно повторно использовать свои стратегии. Они сочетают социальную инженерию с передовыми техническими возможностями, создавая хорошо структурированную цепочку атаки. Это позволяет им преодолевать начальные средства защиты и поддерживать постоянное присутствие в системах жертв. Используя удаленное выполнение команд и стеганографические техники, встроенные в их ВПО, Manlinghua представляет значительные риски для целостности и конфиденциальности конфиденциальной информации на затронутых устройствах. Эволюционирующие тактики этой группы подчеркивают продолжающуюся и выраженную угрозу для кибербезопасности в регионе.

#ParsedReport #CompletenessHigh
09-06-2026

Technical Analysis of MLTBackdoor

https://www.zscaler.com/blogs/security-research/technical-analysis-mltbackdoor

Report completeness: High

Threats:
Mltbackdoor
Clickfix_technique
Antidebugging_technique
Sandbox_evasion_technique
Cobalt_strike_tool

Victims:
Automotive

Industry:
Transport

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001.003, T1005, T1027, T1027.007, T1027.016, T1071.001, T1106, T1140, T1204, T1497, have more...

IOCs:
Url: 2
Command: 2
Path: 1
File: 23
Domain: 4
Hash: 7

Soft:
Microsoft Defender, process explorer

Algorithms:
sha256, aes-256-gcm, aes, ecdh, xor, rc4

Functions:
GetWindowText

Win API:
WinHttpConnect, enumwindows, NtQueryInformationProcess, BCryptGenRandom, NtAllocateVirtualMemory, NtProtectVirtualMemory, NtFreeVirtualMemory, NtWriteVirtualMemory, NtCreateThreadEx, NtQuerySystemInformation, have more...

Languages:
python

Links:
https://github.com/ThreatLabz/tools/tree/main/mltbackdoor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MLTBackdoor — это семейство ВПО, выявленное Zscaler ThreatLabz в мае 2026 года, связанное с деятельностью, связанной с вымогательством, и использующее многоэтапную цепочку заражения. Оно применяет передовые техники обфускации, такие как Смешанная булево-арифметическая (MBA) и Сглаживание потока управления (CFF), для усложнения реверс-инжиниринга, а также динамическое разрешение API и меры противодействия анализу для уклонения от обнаружения. Кроме того, MLTBackdoor имеет загрузчик Beacon Object File (BOF) для дополнительных функций, безопасную связь через собственный зашифрованный протокол и алгоритм генерации доменов (DGA) для закрепления.
-----

MLTBackdoor — это новое семейство ВПО, связанное с деятельностью, связанной с вымогательством, обнаруженное Zscaler ThreatLabz в мае 2026 года. Это ВПО использует сложную многоэтапную цепочку заражения, включающую приманку ClickFix, в основном нацеленную на пользователей через контент, связанный с автомобилями. После выполнения MLTBackdoor выполняет самообновление и работает как загруженный в обход компонент через легитимное приложение Microsoft, повышая свою скрытность во время заражения.

Вредоносное ПО использует ряд передовых техник обфускации, включая Смешанную Булево-Арифметическую (MBA) и Плоское Управление Потоком (CFF), что значительно усложняет обратную разработку. Примерно 95% кода MLTBackdoor составляют ненужные вычисления, сгенерированные через MBA, которые добавляют сложность без функциональной необходимости. CFF изменяет традиционный поток управления, преобразуя условные ветвления в формат конечного автомата, что затрудняет понимание логики кода. Кроме того, MLTBackdoor конструирует строковые значения во время выполнения в стеке, что приводит к фрагментированным данным, анализ которых затруднен, особенно в сочетании с вышеупомянутыми стратегиями обфускации.

Разрешение API выполняется динамически во время выполнения с использованием хеширования DJB2, что позволяет обходить типичные методы обнаружения за счёт избегания обычных вызовов API в пользовательском режиме и использования прямых системных вызовов. ВПО применяет технику, называемую «Hell’s Gate», позволяющую ему строить таблицу времени выполнения на основе нативных вызовов, дополнительно скрывая свою деятельность от стандартных средств защиты.

MLTBackdoor реализует различные меры противодействия анализу, включая проверки на наличие сред отладки или песочницы. Вместо прекращения работы он собирает результаты нескольких проверок для определения контекста выполнения, отправляя эту информацию во время первоначального взаимодействия с сервером управления (C2).

Возможности вредоносного ПО значительно расширены за счёт загрузчика Beacon Object File (BOF), который позволяет динамически загружать дополнительные функции во время эксплуатации после взлома. Этот загрузчик совместим с BOF, созданными сообществом, и имеет специфические модификации, которые перенаправляют вызовы через собственные обёртки для косвенных системных вызовов.

Сетевые коммуникации защищены с использованием собственного зашифрованного бинарного протокола поверх TLS, имеющего уникальную структуру, которая маскирует его трафик под легитимные коммуникации. MLTBackdoor использует обмен ключами Elliptic-Curve Diffie-Hellman (ECDH) для установления общего сеансового ключа AES-256-GCM для шифрования сообщений. Он также применяет детерминированный алгоритм генерации доменов (DGA) для создания ежедневных доменов, что усиливает его закрепление и затрудняет усилия по обнаружению.

Провели еще 23 мая вместе с INSECA уже 5тый митап!

Всем привет!

23 мая состоялся CTI meetup №5, который организовали Инсека и Технологии киберугроз.


🎥 Презентации и запись выступлений CTI meetup №5 можно посмотреть на странице митапа.

📸 Фотоотчет с митапа здесь.

Спасибо всем, кто был с нами на митапе.


Когда будет следующая встреча? - по мере формирования программы митапа.
Присылайте информацию о себе и свою тему доклада на @insecatech, мы с вами обязательно свяжемся!

#ParsedReport #CompletenessLow
10-06-2026

ServiceNow Breach: Customer Data Exposed Through Unauthenticated API Access

https://socradar.io/blog/servicenow-breach-customer-api-access/

Report completeness: Low

Victims:
Servicenow customers

Industry:
E-commerce

Geo:
Australia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1213

IOCs:
IP: 1

Soft:
ServiceNow

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2026 года ServiceNow подвергся взлому, который позволил несанкционированный доступ к данным клиентских инстансов из-за уязвимости в конечной точке API, не имеющей надлежащих средств контроля аутентификации. Затронутые инстансы в основном относились к платформенному релизу для Австралии и некоторым более старым конфигурациям, хотя конкретные сведения о доступе к данным и задействованной конечной точке остаются частично не раскрытыми. Злоумышленная активность, связанная с этой уязвимостью, побудила команды безопасности оповестить затронутых клиентов и внедрить обновление безопасности вскоре после обнаружения инцидента.
-----

В июне 2026 года компания ServiceNow сообщила о нарушении, связанном с несанкционированным доступом к данным клиентских инстансов из-за уязвимости, позволяющей злоумышленникам эксплуатировать конечную точку API без стандартных средств контроля аутентификации. Этот инцидент, обнаруженный примерно 2–3 июня, побудил ServiceNow уведомить затронутых клиентов 5 июня и привел к внедрению обновления безопасности вскоре после этого.

Нарушение в первую очередь затронуло клиентские инстансы на платформе Australia release и некоторых более старых релизах, которые имели специфические изменения конфигурации. Однако точные критерии для затронутых и незатронутых инстансов остаются не раскрытыми, и клиентам рекомендуется проверять свой статус через поддержку ServiceNow, а не полагаться на публичную информацию.

ServiceNow не раскрыла точный API-эндпоинт, вовлеченный в инцидент. Тем не менее, сообщается, что эндпоинт, связанный с этой злонамеренной активностью, находится по адресу /api/now/related_list_edit/create. Уязвимость была связана с вредоносным поведением, которое вызвало тревогу у команд безопасности ServiceNow, хотя детали о доступе к данным — такие как количество затронутых инстансов, содержание скомпрометированных данных и факт их выгрузки или появления на криминальных маркетплейсах — не полностью раскрыты.

Для снижения дальнейших рисков организациям рекомендуется проверять журналы на наличие подозрительной активности API, уделяя особое внимание запросам, выполненным из неаутентифицированных контекстов или исходящим из необычных шаблонов трафика. В частности, следует обращать внимание на попытки доступа с незнакомых IP-адресов, активность вне обычного рабочего времени или любое поведение, похожее на перечисление, которое может указывать на систематическое зондирование системы.

Кроме того, организациям рекомендуется провести аудит своих контролей API и ACL. Это включает в себя обзор пользовательских Scripted REST API, политик доступа REST и поведения списков управления доступом (ACL) в контексте неаутентифицированного доступа. Собственная документация ServiceNow по аутентификации API и политикам доступа REST API может помочь в этом процессе проверки.

В заключение, инцидент с ServiceNow подчеркивает критические уязвимости, связанные с неправильными мерами аутентификации в публичных API, и требует усиленного контроля за управлением доступом и надежной практики ведения журналов у клиентов, чтобы предотвратить потенциальную эксплуатацию в будущем.

#ParsedReport #CompletenessMedium
11-06-2026

A living fossil, or how the ProxyCB botnet survived

https://rt-solar.ru/solar-4rays/blog/6652/

Report completeness: Medium

Threats:
Proxycb
Virut
Teamspy
Ponystealer
Nssm_tool
Teamviewer_tool

Victims:
Russian online services, Email platforms, Marketplaces, Social networks, Telecom services, Gaming services, Russian federation

Industry:
Telco, Financial, Entertainment, E-commerce

Geo:
Russian federation, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.004, T1036.005, T1055, T1059.007, T1090, T1105, T1204.002, T1218.011, have more...

IOCs:
IP: 1
Domain: 20
File: 11
Hash: 75

Soft:
Telegram, VKontakte, Node.js, winlogon, uTorrent

Algorithms:
md5, sha256, sha1, zip

Functions:
GetConfig, SetConfig

Win API:
CreateRemoteThread

Languages:
jscript

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет ProxyCB представляет собой сложную киберугрозу, использующую зараженные хосты в качестве прокси-серверов для незаконной деятельности. Его архитектура включает клиентский бот и серверное ядро, известное как PCBServer 7. Ботнет функционирует через фиксированные TCP-порты для управления и выполнения задач, применяет уникальные идентификаторы для зараженных узлов и использует различные режимы работы, такие как SOCKS4 и SOCKS5, для эксфильтрации данных. Ботнет тесно связан с группой шпионажа TeamSpy и демонстрирует передовые тактики, включая упаковку ВПО с легальным программным обеспечением и поддержание закрепления с помощью методов обфускации.
-----

Ботнет ProxyCB использует заражённые хосты в качестве прокси для вредоносной деятельности.

Его архитектура включает клиентский бот, каналы управления и данных, веб-панель, а также использует PCBServer 7.

Управление связью осуществляется через TCP-порт 1001, тогда как операционные задачи используют порт 1002.

Ботнет имеет панель авторизации, доступ к которой осуществляется через порты 80 и 443.

ProxyCB генерирует уникальные идентификаторы для зараженных узлов и обеспечивает закрепление для предотвращения перезагрузок.

Это обеспечивает связь для управления через выделенные потоки для логики управления и операционной логики.

Веб-интерфейс скрывает основные механизмы управления, встроенные в ядро сервера, с использованием проприетарного бинарного протокола.

В более старых образцах использовались домены, такие как gogogobaby12.com; в новых итерациях они обнаруживаются под доменами, такими как kilo-torrent.org.

ProxyCB работает в связке с другими угрозами, такими как ботнет Virut, который использует сложные техники внедрения.

Он поддерживает такие режимы работы, как SOCKS4, SOCKS5 и HTTP-туннелирование для эксфильтрации и перехвата данных.

Взаимодействие между прокси-узлами и сервером структурировано вокруг сообщений фиксированной длины для эффективной обработки команд.

Ботнет использует установщики, маскирующиеся под легальное программное обеспечение, такое как uTorrent, применяя Inno Setup для обфускации.

Деятельность ProxyCB продолжалась до конца января 2025 года, что свидетельствует о высоком уровне автоматизации и имитации поведения пользователей.

Существуют исторические связи между ProxyCB и группой кибершпионажа TeamSpy, что указывает на общую инфраструктуру и цели.

Координация между ProxyCB и TeamSpy указывает на долгосрочную стратегию создания надежной сети распространения.

ProxyCB характеризуется как зрелая киберугроза, способная эволюционировать в тактиках и техниках уклонения.