#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2026 года многоуровневая кибератака нацелилась на сектор здравоохранения с использованием сложных методов, включая фишинговое письмо, замаскированное под переписку от Администрации социального обеспечения. Атака включала использование ВПО, такого как AdaptixC2 для управления, XWorm для доступа и эксфильтрации через Телеграм, а также ScreenConnect для интерактивного контроля. Методы включали использование замаскированного исполняемого файла PE32 с помощью RTLO для обхода обнаружения, в сочетании с обширной разведкой среды Active Directory Microsoft для облегчения перемещения внутри компании и стратегий закрепления.
-----

В середине мая 2026 года была осуществлена сложная атака с использованием стандартных средств вторжения, реализованная многоуровневым подходом с применением ВПО и ПО для удаленного доступа в среде Microsoft Active Directory в секторе здравоохранения. Процесс атаки начался с тщательно составленного фишингового письма, имитирующего Управление социального обеспечения (SSA), которое содержало ссылку на архив RAR, размещенный на взломанном сайте WordPress. Этот архив содержал исполняемый файл PE32, замаскированный под PDF-документ с использованием трюка с именем файла через символ правого-левого переопределения (RTLO), что позволило ему избежать обнаружения.

Атакующий использовал AdaptixC2 в качестве основной инфраструктуры управления (C2), применяя дополнительные инструменты, такие как XWorm для избыточного доступа и Телеграм для эксфильтрации, а также два независимых экземпляра ScreenConnect для интерактивного контроля. Первоначальная компрометация произошла через фишинговое письмо, которое привело к доставке вредоносной DLL (jli.dll), размещенной в публичных документах пользователя. Оператор затем использовал команду Windows certutil для загрузки компонентов AdaptixC2 с указанного URL, что способствовало установлению закрепления и запуску дополнительных полезной нагрузки. В ходе инцидента было запущено несколько вариантов Staging AdaptixC2, демонстрирующих беконинг на определенные IP-адреса через HTTPS.

Использование проверки TLS предоставило информацию о трафике C2, раскрывая реальные URL-адреса и маячки в открытом виде, что способствовало эффективной атрибуции активности. Фаза разведки включала картирование домена с использованием SAMR и LSAD, что позволило злоумышленнику собрать подробную информацию о пользователях домена, группах и доверительных отношениях, что критически важно для перемещения внутри компании.

Основной фреймворк C2, AdaptixC2, демонстрировал характерный паттерн беконинга, выражавшийся в специфических HTTP POST-запросах к таким конечным точкам, как /updates/check.php. XWorm, развернутый в виде DLL, предоставлял дополнительные возможности доступа и использовал Bot API Телеграм для эксфильтрации, что указывает на четко определенную оперативную методологию. Тем временем ScreenConnect обеспечивал интерактивный доступ с устойчивостью за счет развертывания на нескольких доменах, усложняя попытки прервать доступ злоумышленников.

Учитывая сложность атаки, она отражает адаптивную стратегию вторжения, при которой первоначальный доступ осуществляется с помощью социальной инженерии, а не продвинутых технических эксплойтов. Использование RTLO для маскировки исполняемых файлов остается надежной тактикой для обхода бдительности пользователей, а наличие недетектируемых хешей для полезной нагрузки в VirusTotal подчеркивает необходимость поведенческого обнаружения и сетевого мониторинга вместо опоры на традиционные отпечатки файловых хешей. Этот случай подчеркивает важность тщательного мониторинга легитимных инструментов, используемых в рамках злонамеренных кампаний, особенно в отношении утилит сертификатов, механизмов закрепления и поведения C2, связанного с известными семействами ВПО.

#ParsedReport #CompletenessMedium
11-06-2026

Home Ground Disadvantage: AiTM, QR Code Phishing, and Information Theft Malware at the 2026 FIFA World Cup

https://arcticwolf.com/resources/blog-ja/atm-qrc-code-phishing-infostealer-malware-at-2026-fifa-world-cup/

Report completeness: Medium

Threats:
Qshing_technique
Aitm_technique
Supply_chain_technique
Putty_tool

Victims:
Fans, Organizers, Host cities, Sponsors, Vendors, Organizations using google workspace, Staff in philadelphia

Industry:
Government

Geo:
Mexico, India, Brazil, United states, Canada, Asian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.002, T1036, T1041, T1056.007, T1059.003, T1078.004, T1102, T1111, have more...

IOCs:
Domain: 16
File: 4
Hash: 7

Soft:
WhatsApp, Telegram, Discord, Android, Steam, WinSCP, KeePass, 1Password

Languages:
javascript

Platforms:
x64

Links:
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/aitm-qr-code-phishing-infostealers-at-the-2026-fifa-world-cup

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
По мере приближения Чемпионата мира по футболу 2026 года киберзлоумышленники используют популярность мероприятия для применения передовых техник фишинга, вредоносного ПО и более чем 10 000 зарегистрированных доменов, тематически связанных с Чемпионатом мира, при этом основная цель — мобильные устройства. Такие техники, как фишинг через QR-коды, вводят жертв в заблуждение, в то время как атаки «противник посередине» в реальном времени подрывают работу многофакторной аутентификации, позволяя злоумышленникам перехватывать одноразовые коды. Вредоносное ПО, замаскированное под предложения по продаже билетов, крадет конфиденциальные данные с компьютеров под управлением Windows, что подчеркивает необходимость для организаций пересмотреть свои меры безопасности в отношении сложных киберугроз.
-----

Злоумышленники в киберпространстве используют передовые техники фишинга и ВПО для атак на Чемпионат мира по футболу 2026 года.

С начала 2026 года было зарегистрировано более 10 000 доменов, тематически связанных с Чемпионатом мира, при этом ежемесячно создается около 2 000 новых сайтов.

Мобильные устройства являются основными целями для этих киберугроз.

Мошенники используют социальные сети для маскировки ссылок, которые перенаправляют пользователей на менее защищённые мессенджеры, такие как WhatsApp, Телеграм или Discord.

Распространённые мошеннические схемы включают поддельные предложения бесплатных потоковых ссылок непосредственно перед матчами, использующие срочность фанатов.

Атаки фишинга используют QR-код фишинг, или «quishing», чтобы обмануть организаторов и нацелиться на сотрудников.

Один из случаев фишинга включал поддельный PDF-файл «Справочник сотрудника», чтобы побудить сотрудников отсканировать вредоносный QR-код.

Методы фишинга в режиме реального времени с атакой «человек посередине» (AiTM) могут перехватывать одноразовые коды многофакторной аутентификации (MFA), что позволяет быстро получить несанкционированный доступ к учетным записям.

Настольное ВПО распространяется под видом предложений билетов на чемпионат мира, предназначенных для кражи конфиденциальных данных с машин под управлением Windows.

Это ВПО осуществляет выгрузку данных в каналы, такие как Телеграм и Discord, маскируя при этом свою деятельность.

Поведение ВПО включает доступ к файлам cookie, сохраненным паролям, данным сеанса и учетным данным чувствительных приложений.

Организациям, связанным с Чемпионатом мира по футболу ФИФА, рекомендуется использовать более надежные методы аутентификации, выходящие за рамки простой многофакторной аутентификации (MFA).

Рекомендуется переход на аппаратные решения, такие как ключи FIDO2/WebAuthn.

Пользователям следует проявлять осторожность при получении нежелательных предложений бесплатных билетов или потокового вещания, рассматривая их как потенциально вредоносные.

Ожидается усиление киберактивности по мере приближения турнира, что побуждает болельщиков и организаторов сохранять бдительность.

Киберпреступники могут использовать генеративный ИИ для улучшения своих стратегий атак в ходе мероприятия.

#ParsedReport #CompletenessHigh
10-06-2026

Iranian Cyber Operations Enter Sustained Pre-Positioning Phase: What CISOs Must Know Now

https://www.anomali.com/blog/iranian-cyber-operations-enter-sustained-pre-positioning-phase-what-cisos-must-know-now

Report completeness: High

Actors/Campaigns:
Pinchy_spider
Handala-hacking-team
Fancy_bear
Playful_taurus
Fox_kitten
Charming_kitten
Cyberav3nger
Muddywater
Apt33
Apt42
Oilrig
Unc5855
Cyber_av3ngers
Rusty_boots
Mokhargosh
Tortoiseshell

Threats:
Remcos_rat
Cobalt_strike_tool
Bumblebee
Revil
Credential_harvesting_technique
Raton
Bibi-wiper
Seo_poisoning_technique
Supply_chain_technique

Victims:
Financial services, Energy, Healthcare, Government, Aviation, Logistics, Chemical sector, Maritime, Building management, Substation automation, have more...

Industry:
Critical_infrastructure, Logistic, Healthcare, Transport, Chemical, Energy, Aerospace, Ics, Financial, Government, Maritime

Geo:
Israeli, Iran, Iranian

CVEs:
CVE-2024-4577 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- php (<8.1.29, <8.2.20, <8.3.8)

CVE-2026-29116 [Vulners]
CVSS V3.1: 8.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-42271 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- litellm (<1.83.7)

CVE-2021-41773 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache http_server (2.4.49)

CVE-2026-7473 [Vulners]
CVSS V3.1: 5.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- arista eos (*)

CVE-2017-9841 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- phpunit_project phpunit (le4.8.27, <5.6.3)


TTPs:

IOCs:
IP: 12
Hash: 1

Soft:
LiteLLM, Ivanti

Algorithms:
md5

Languages:
powershell, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские кибероперации, спонсируемые государством, в настоящее время находятся на фазе предварительного размещения, характеризующейся расширением инфраструктуры и поиском уязвимостей, особенно в отношении промышленных систем управления (ICS). Значимые уязвимости, включая CVE-2026-42271, позволяющую выполнять произвольные команды на шлюзах ИИ, повышают риски для организаций в критических секторах, таких как энергетика и здравоохранение. Активность групп, таких как Pinchy-Spider, известных своими программами-вымогателями, наряду с использованием ВПО, такого как Remcos RAT, свидетельствует об увеличении сложности угроз и потенциале для деструктивных атак.
-----

Иранские кибероперации перешли в методичную фазу предварительного позиционирования, характеризующуюся расширением инфраструктуры, поиском уязвимостей и организованными подготовительными мероприятиями, направленными на будущие деструктивные атаки. Несмотря на отсутствие немедленных разрушительных действий, иранские спонсируемые государством акторы, как сообщается, усиливают свои кибервозможности и поддерживают значительное присутствие, что указывает на готовность к будущим агрессивным операциям. Разведданные свидетельствуют о том, что эти приготовления совпадают с возрождением активности в целевых секторах, особенно в системах промышленной автоматизации (ICS), при этом недавно опубликованные рекомендации повышают риск эксплуатации.

Критический узел иранской кибердеятельности был выявлен в автономной системе (ASN) 213790, которая служит площадкой для различных операций, включая прокси-ретрансляцию и доставку вредоносного программного обеспечения (ВПО). Эта инфраструктура связана с несколькими группами сложной целенаправленной угрозы (APT), такими как APT28 и APT33, что указывает на совместный фреймворк, усложняющий атрибуцию и представляющий собой мощное сочетание ресурсов. Особую обеспокоенность вызывает появление группы Pinchy-Spider, известной своими возможностями в области программ-вымогателей, на иранских серверах, что сигнализирует о потенциальных двойных угрозах для организаций.

Обнаружение уязвимостей, в частности CVE-2026-42271 и CVE-2026-7473, ставит под угрозу инфраструктуру ИИ и сегментацию сетей OT. Первая позволяет аутентифицированным пользователям выполнять произвольные команды на шлюзах ИИ, что подчеркивает срочную необходимость для организаций, использующих такие технологии, усилить протоколы безопасности против тактик сбора учетных записей, разработанных иранскими акторами. Вторая может потенциально привести к компрометации систем сегментации сетей OT, подвергая их атакам.

Недавний всплеск консультативных сообщений ИБ от CISA — семь за пять дней — тревожно ускорил темп уязвимостей, которые иранские злоумышленники исторически эксплуатируют вскоре после их раскрытия. В основном в зоне риска находятся сектора энергетики, здравоохранения и государственного управления, при этом угрозы проявляются через целевое ВПО, такое как Remcos RAT и Cobalt Strike, на их инфраструктуре. Организации, работающие в этих областях, сталкиваются со значительными операционными рисками, если не будут приняты немедленные контрмеры, такие как блокировка диапазонов IP-адресов, связанных с иранской деятельностью, и устранение критических уязвимостей.

#ParsedReport #CompletenessHigh
10-06-2026

Behind Khmer Shadow: Targeted espionage against Cambodian government entities

https://www.acronis.com/en/tru/posts/behind-khmer-shadow-targeted-espionage-against-cambodian-government-entities/

Report completeness: High

Actors/Campaigns:
Khmer_shadow (motivation: cyber_espionage)
Apt29
Red_delta (motivation: cyber_espionage)
Donot (motivation: cyber_espionage)

Threats:
Nightforge
Havoc
Hellsgate_technique
Spear-phishing_technique
Dll_sideloading_technique
Kaynldr

Victims:
Cambodian government, Information collection bureau, Ministry of public works and transport, Defense, Military intelligence, Public works

Industry:
Military, Government

Geo:
China, Ukraine, United states, Cambodian, Cambodia, Asia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001.003, T1027.007, T1027.013, T1036.004, T1036.007, T1053.005, T1055, T1070.004, T1071.001, T1106, have more...

IOCs:
File: 5
Coin: 1
Domain: 3
IP: 2
Hash: 4

Soft:
twitter, vmtools, Task Scheduler, Chrome

Algorithms:
sha256, xor

Functions:
FindEmbeddedPE

Win API:
CreateFileMappingW, MapViewOfFile, GetFileSize, NtAllocateVirtualMemory, NtWriteVirtualMemory, NtWaitForSingleObject, NtCreateThreadEx, GetProcAddress, CoInitialize, CoCreateInstance, have more...

Languages:
python

Links:
https://github.com/HavocFramework/Havoc
https://github.com/Cracked5pider/KaynLdr/tree/main

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 8, code: 30, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Две шпионские кампании, Khmer Shadow, нацелены на камбоджийские государственные структуры с использованием пользовательского C++ загрузчика под названием NIGHTFORGE, доставляемого через самораспаковывающиеся архивы. После запуска он загружает в память полезную нагрузку под названием Havoc Demon, применяя продвинутые техники, такие как развязывание NTDLL, для уклонения от обнаружения, а также подгружает вредоносную DLL через доверенные процессы. Загрузчик и полезная нагрузка обмениваются данными через HTTP-трафик, имитирующий легитимную активность браузера, при этом выявленная инфраструктура C2 указывает на sharingfile.cloud.
-----

Подразделение Acronis по исследованию угроз (TRU) выявило две шпионские кампании, идентифицированные как Khmer Shadow, направленные против камбоджийских государственных структур, особенно в секторах обороны и общественных работ. Эти кампании использовали собственный загрузчик на C++, известный как NIGHTFORGE, который доставлялся через самораспаковывающиеся (SFX) архивы с приманками на тему встреч. После запуска NIGHTFORGE расшифровывает и выполняет полезную нагрузку под названием Havoc Demon непосредственно в памяти.

NIGHTFORGE продемонстрировал продвинутые техники для обхода обнаружения, такие как развязывание NTDLL и разрешение системных вызовов через Hell's Gate, что позволяет ему выполнять прямые системные вызовы без срабатывания мониторинга в пользовательском режиме. Этот загрузчик работает путем подгрузки вредоносной DLL (vmtools.dll) с использованием легитимного исполняемого файла (VMwareNamespaceCmd.exe), обеспечивая его выполнение под видом доверенного процесса. Различные этапы атаки включают закрепление через COM API и создание запланированной задачи для периодического запуска загрузчика.

Начальная цепочка атаки начинается с письма, содержащего поддельный SFX-архив, выданного за PDF-документ, в котором вредоносный загрузчик размещён вместе с легитимными файлами. При выполнении этого архива пользователем происходит подгрузка (sideloading) библиотеки vmtools.dll, что приводит к развёртыванию вредоносного полезного груза. Последующий анализ показал, что загрузчик использует сложные техники, такие как комбинация вызовов API для сокрытия своих действий и закрепления (persistence) через запланированные задачи, сливаясь с легитимными процессами для уклонения от обнаружения.

Полезная нагрузка, идентифицированная как Havoc Demon, характеризуется использованием HTTP-трафика, имитирующего нормальное взаимодействие веб-браузера, включая заголовки, маскирующие её активность для избежания внимания. Havoc Demon взаимодействует со своим сервером управления (C2), который был прослежен до домена sharingfile.cloud, зарегистрированного через NameSilo и скрытого за CloudFlare для сокрытия его истинного происхождения.

Анализ также показывает, что, хотя кампании использовали передовые тактики уклонения, они продемонстрировали слабость в области операционной безопасности (OPSEC) за счет повторного использования инфраструктуры и полезной нагрузки (payloads) для различных целей. Acronis не приписывает эти действия конкретному известному злоумышленнику из-за уникальной комбинации наблюдаемых инструментов и техник, однако паттерны целеполагания и операционные характеристики соответствуют шпионской деятельности региональных акторов в Юго-Восточной Азии. TRU продолжит отслеживание этой группы для потенциальной будущей идентификации и атрибуции.

#ParsedReport #CompletenessLow
11-06-2026

Adult Spam PDFs on Official EU Infrastructure: Trusted Domain, Dirty Search Results

https://blog.synapticsystems.de/spam-pdfs-on-official-eu-infrastructure-trusted-domain-dirty-search-results/

Report completeness: Low

Threats:
Clickbait_technique

Victims:
Public eu infrastructure, European union institutions

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1584.004, T1608.006

IOCs:
Url: 1

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В последнее время в индексе под официальным доменом ЕС были обнаружены спам-файлы PDF с вводящими в заблуждение названиями и содержанием, не имеющим отношения к законным инициативам ЕС. Хотя эти PDF-файлы кажутся безобидными и в первую очередь направлены на манипуляции с поисковой оптимизацией (SEO), они представляют риск из-за своего присутствия на доверенном домене, что потенциально может способствовать фишингу или вредоносным кампаниям. Эта ситуация выявляет слабости в мониторинге и целостности контента, позволяя злоумышленникам эксплуатировать авторитетные платформы в обманчивых целях.
-----

Недавние наблюдения выявили наличие спам-файлов PDF, проиндексированных Google под официальным доменом Европейского союза (ЕС), а именно в каталоге, предназначенном для публичного хранения файлов (/sites/default/files/). Эти PDF-файлы содержат заголовки и фрагменты текста, которые резко отличаются от ожидаемого контента, связанного с инициативами ЕС, такими как программа Erasmus+ или законные образовательные ресурсы. Вместо этого в результатах индексации отображаются заголовки на взрослую тематику, язык кликбейта, упоминания Телеграм и общие стили вирусных видео, характерные для SEO-спама.

Первоначальный анализ этих PDF-файлов показывает, что они, вероятно, не содержат ВПО и выглядят безобидно на первый взгляд; однако их наличие на доверенной официальной инфраструктуре вызывает обеспокоенность. Эти документы оставались на домене ЕС почти месяц без устранения проблемы, что указывает на значительный пробел в мониторинге и реагировании на целостность контента. Доверенные домены выгодны для злоумышленников и спамеров, поскольку пользователи обычно воспринимают их как безопасные и заслуживающие доверия. Следовательно, наличие такого спам-контента может вводить пользователей в заблуждение, манипулировать восприятием поисковых систем и избегать внимания защитников, которые, как правило, не ожидают столкнуться с неуместным материалом на репутационных сайтах.

Хотя текущие PDF-файлы, по-видимому, в первую очередь предназначены для манипуляций с поисковой оптимизацией (SEO), а не для распространения вредоносного программного обеспечения (ВПО), потенциал для злоупотреблений сохраняется. Злоумышленники могут использовать аналогичные пути загрузки для распространения фишинговых документов, создания цепочек перенаправлений или использования репутации домена для повышения легитимности своих кампаний. Этот сценарий подчеркивает необходимость бдительного надзора за публичной инфраструктурой, где злоупотребления могут подорвать доверие и безопасность в каналах цифровой коммуникации.

#ParsedReport #CompletenessHigh
11-06-2026

Velvet Ant’s Operation Highland: How a China-Nexus Actor Infiltrated an Internal Network Undetected

https://www.sygnia.co/blog/operation-highland-velvet-ant/

Report completeness: High

Actors/Campaigns:
Velvet_ant
Operation_highland

Threats:
Velvetshell
Gs-netcat
Credential_harvesting_technique
Credential_dumping_technique
Timestomp_technique
Logcleaner_tool
Pnscan_tool
Pscan_tool

Victims:
Major organization, Critical infrastructure

Industry:
Healthcare, Critical_infrastructure

Geo:
China

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 9
IP: 5
Hash: 276
Coin: 1

Soft:
OpenSSH, systemd, Chrome, Nginx, FastCGI, SELinux, ELinux di, Linux

Algorithms:
md5, sha1

Functions:
Internet-Facing

Languages:
perl

Links:
https://github.com/hackerschoice/gsocket
https://github.com/gnosek/fcgiwrap

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Operation Highland злоумышленника, связанного с Китаем, продемонстрировала сложную атаку, в ходе которой использовались уязвимости в модулях аутентификации Pluggable Authentication Module (PAM) и бинарных файлах OpenSSH, что позволило почти десятилетие, начиная с 2016 года, оставаться незамеченным и получать доступ к сети критической инфраструктуры. Атака включала использование модифицированных модулей PAM и бинарных файлов OpenSSH для обхода аутентификации и захвата учетных данных пользователей, а также применение скрытой обратной оболочки и пользовательского моста выполнения для удаленного выполнения команд. Эта операция подчеркивает сложности обнаружения глубоко интегрированных угроз, которые манипулируют доверенными компонентами в средах с высоким уровнем безопасности.
-----

Velvet Ant приписывается злоумышленнику, связанному с Китаем, который почти десятилетие оставался незамеченным в сетях критической инфраструктуры.

Первоначальная компрометация произошла в 2016 году с использованием передовых стратегий закрепления, нацеленных на стек аутентификации.

Атака использовала многоэтапную стратегию, начиная с доступа к системам, открытым для интернета, перед проникновением в изолированные сегменты критической инфраструктуры.

Среди ключевых уязвимостей, использованных злоумышленниками, были бинарные файлы модуля аутентификации (PAM) и OpenSSH, что позволило осуществлять контроль над процессами аутентификации.

Злоумышленные модификации позволили манипулировать использованием учётных данных, обеспечивая постоянный доступ, несмотря на смену пароля.

Скомпрометированные версии модулей PAM, таких как pam_unix.so, использовались для обхода аутентификации и сбора учетных данных.

Выявлено девять вариантов pam_unix.so, каждый из которых содержал встроенные бэкдор-пароли.

Измененные бинарные файлы OpenSSH перехватывали учетные данные пользователей и регистрировали команды оболочки, с функциональностью для отключения ведения журнала.

Модифицированная версия GS-Netcat использовалась в качестве скрытой обратной оболочки, зашифрованной для обеспечения скрытности, при этом имена процессов изменялись для маскировки под системные процессы.

Специализированный мост выполнения на базе Nginx и FastCGI обеспечивал удалённое выполнение команд через HTTP-запросы.

Устранение последствий атаки потребовало тщательных стратегий по замене скомпрометированных элементов без нарушения доступа для администраторов.

Обнаружение таких угроз требует проактивной охоты на угрозы и аналитических подходов, а не полаганиясь на обнаружение на основе сигнатур.

#ParsedReport #CompletenessMedium
11-06-2026

APT28, an evolution of tradecraft

https://blog.sekoia.io/apt28-an-evolution-of-tradecraft/

Report completeness: Medium

Actors/Campaigns:
Fancy_bear (motivation: hacktivism, sabotage)
Phantom_net_voxel
Cyberberkut (motivation: sabotage)
Roundpress
Frostarmada
Cybercaliphate
Apt29
Double_tap

Threats:
Polyglot_ransomware
Credential_harvesting_technique
Spypress
Moobot
Aitm_technique
Xagent
Spear-phishing_technique
Sedkit_tool
Sedup_loader
Sedreco
Xtunnel
Screen_shotting_technique
Mimikatz_tool
Zebrocy
Gooseegg_tool
Headlace
Credomap
Masepie_tool
Oceanmap
Steelhook
Dns_hijacking_technique
Incontroller_tool
Bitm_technique
Covenant_c2_tool
Beardshell_tool
Slimagent_tool
Lamehug_tool

Victims:
Government, Defense, Diplomatic entities, Critical infrastructure, Political organizations, Civil society, Military, Foreign ministries, Embassies, Law enforcement, have more...

Industry:
Energy, Ngo, Government, Critical_infrastructure, Transport, Military, Education, Healthcare, Logistic

Geo:
America, Germany, American, Ukraine, Romania, Asia, Bulgaria, Polish, German, Russia, Crimea, Russian, Africa, Ukrainian, French

CVEs:
CVE-2022-38028 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19507)
- microsoft windows_10_1607 (<10.0.14393.5427)
- microsoft windows_10_1809 (<10.0.17763.3532)
- microsoft windows_10_20h2 (<10.0.19042.2130)
- microsoft windows_10_21h1 (<10.0.19043.2130)
have more...
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2019)
- microsoft office_long_term_servicing_channel (2021)
- microsoft outlook (2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1005, T1041, T1056.001, T1059.001, T1059.003, T1059.005, T1059.006, T1059.007, T1068, have more...

Soft:
Outlook, Mistral, Windows Print Spooler, Microsoft Exchange, Roundcube, MDaemon, Zimbra, icedrive, Qwen, Hugging Face, have more...

Algorithms:
base64

Win API:
NET

Languages:
powershell, javascript, python

Links:
https://github.com/cobbr/Covenant

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT28, также известная как Fancy Bear, эволюционировала в своих кибероперациях, сосредоточившись на целях, связанных с НАТО, правительственных и инфраструктурных объектах, используя кампании целевого фишинга с инструментами, такими как Seduploader и X-Agent, для обеспечения устойчивости. В недавних активностях группа развернула собственный инструмент повышения привилегий GooseEgg, эксплуатирующий уязвимость CVE-2022-38028, а также использовала эксплойты с нулевым кликом и другие уязвимости, такие как CVE-2023-23397, для сбора учетных записей. Теперь группа применяет передовые техники, включая потенциальную интеграцию искусственного интеллекта в вариант вредоносного ПО, а также сместила тактику инфраструктуры на скомпрометированные маршрутизаторы и периферийные устройства, что указывает на значительную адаптацию к ландшафту угроз.
-----

APT28, также известная как Fancy Bear, нацелена на государственные, оборонные структуры и критическую инфраструктуру, связанную с НАТО и Украиной.

Группа провела заметные операции, включая саботаж TV5Monde и взломы Демократической партии в 2016 году.

Кампании целевого фишинга изначально развертывали вредоносное ПО Seduploader, а затем перешли на бэкдор X-Agent.

APT28 использует стратегию взлома и утечки для публикации похищенных документов с целью политического воздействия.

После доклада Мюллера 2019 года публично отслеживаемая деятельность APT28 сократилась, но группа продолжала оставаться активной.

Они развернули пользовательский инструмент повышения привилегий под названием GooseEgg, используя эксплойт CVE-2022-38028 для выполнения на уровне системы.

Недавние атаки включают эксплойты с нулевым кликом против Microsoft Outlook для сбора учетных записей.

Уязвимости, такие как CVE-2023-23397, были использованы для ретрансляции захваченных хешей в целях сбора учетных записей.

APT28 часто нацеливается на гражданское общество и военные сектора Украины.

Операционная инфраструктура переместилась на периферийные устройства, отходя от традиционных конфигураций виртуальных частных серверов (VPS).

Скомпрометированные маршрутизаторы используются для ретрансляции учетных данных и размещения фишинговых сайтов.

Сообщается о масштабной утечке учетных данных пользователей украинской веб-почты UKR.NET.

Используются как фишинг на стороне клиента, так и серверные эксплойты веб-почты, основанные на межсайтовом скриптинге (XSS).

APT28 продемонстрировала инновационный подход, интегрировав возможности искусственного интеллекта в ВПО, включая вариант под названием LameHug.

В ходе недавних операций наблюдается возврат к традиционным методам внедрения, включающим использование устаревших систем, таких как X-Agent.

Адаптация различных техник отражает реакцию APT28 на изменяющийся ландшафт киберугроз.