#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Gentlemen, классифицируемая как группа Ransomware-as-a-Service (RaaS), связана с загрузчиком CountLoader, обеспечивающим работу её инфраструктуры. CountLoader также ассоциируется с другими программами-вымогателями, такими как Black Basta, LockBit и Qilin, а его варианты встречаются на нескольких языках программирования. Группа известна использованием уязвимостей в VPN- и межсетевых экранах, доступных из интернета, для первоначального проникновения в сеть, при этом в рамках их операций выявлен IP-адрес сервера управления Cobalt Strike.
-----

Недавние публикации об операции The Gentlemen привлекли внимание к методам и связям этой группировки Ransomware-as-a-Service (RaaS), которая активна с середины 2025 года. В частности, расследование выявило связи между загрузчиком вредоносного ПО под названием CountLoader и тремя известными операциями по вымогательству: Black Basta, LockBit и Qilin. CountLoader, обнаруженный в версиях на .NET, PowerShell и JScript, сыграл ключевую роль в операционной инфраструктуре The Gentlemen.

Аналитики Silent Push в ходе своего исследования отметили, что CountLoader привел к обнаружению водяных знаков Cobalt Strike, а именно 1473793097 и 1357776117, которые являются уникальными идентификаторами, связанными с одним и тем же аффилированным лицом в рамках различных групп программ-вымогателей. Использование лицензированных экземпляров Cobalt Strike, которые несут уникальные идентификаторы, позволило осуществлять постоянный мониторинг злоумышленников, несмотря на изменения в их аффилированности с сервисами RaaS. Этот метод отслеживания оказался эффективным, позволив Silent Push поддерживать непрерывное наблюдение за деятельностью аффилированного лица на протяжении трех лет.

Важным элементом разведданных от Silent Push стало выявление IP-адреса 91.107.247.163 как сервера управления (C2) Cobalt Strike. Это было отмечено в феврале 2026 года, и к апрелю того же года подтверждено Check Point в связи с вторжением, связанным с операцией хакерской группировки The Gentlemen. Система раннего предупреждения Silent Push позволила клиентам заранее внедрить блокировки против этого IP-адреса.

Анализ операционной инфраструктуры, используемой хакерской группировкой The Gentlemen, позволяет получить представление об их тактике. Аффилиаты этой программы-вымогателя предпочитают эксплуатировать интернет-ориентированные устройства VPN и межсетевые экраны для первоначального доступа к целевым сетям. Для организаций это подчеркивает необходимость аудита и обновления этих точек входа для снижения рисков.

Для усиления защиты от таких передовых угроз рекомендуется предприятиям использовать потоки Индикаторов Будущих Атак (IOFA) Cobalt Strike, доступные через Silent Push, которые могут быть напрямую интегрированы в системы безопасности, такие как межсетевые экраны, Security Information and Event Management (SIEM) или платформы Endpoint Detection and Response (EDR). Эта интеграция позволила внедрить проактивные меры, которые ставили клиентов на несколько недель впереди вторжений, демонстрируя важность своевременной разведданных в противодействии сложным киберугрозам.

#ParsedReport #CompletenessHigh
11-06-2026

ShinyHunters Targets Education Sector with Oracle PeopleSoft Exploit

https://cloud.google.com/blog/topics/threat-intelligence/shinyhunters-targets-education-sector-oracle-exploit/

Report completeness: High

Actors/Campaigns:
Shinyhunters
Unc6240

Threats:
Meshcentral_tool
Meshagent_tool

Victims:
Higher education, Academic institutions, Universities, Colleges, Organizations in the united states, Global organizations

Industry:
Education

Geo:
United states

CVEs:
CVE-2026-35273 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 4
Technics: 0

IOCs:
IP: 5
Url: 1
Domain: 1
File: 5
Hash: 5

Soft:
WebLogic, SimpleHTTP, Linux, macOS, sshpass

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа хакерских группировок UNC6240, также известная как ShinyHunters, провела кампанию по вымогательству, нацеленную на приложения Oracle PeopleSoft через уязвимость критического уровня CVE-2026-35273, позволяющую осуществлять Удаленное Выполнение Кода. Эксплуатация произошла до публикации рекомендаций Oracle, что позволило злоумышленникам развернуть кастомные агенты MeshCentral для выполнения административных команд и перемещение внутри компании. Инфраструктура управления кампаний имитировала легитимные сервисы, что привело к компрометации систем и раскрытию конфиденциальных данных в секторе высшего образования.
-----

Выявлена активная кампания по компрометации и вымогательству, связанная с хакерской группировкой UNC6240, также известной как ShinyHunters, которая нацелена на приложения Oracle PeopleSoft. Кампания использовала уязвимость Удаленное Выполнение Кода CVE-2026-35273 критического уровня со счетом CVSS 9.8 в компоненте Environment Management, конкретно атакуя Environment Management Hub (PSEMHUB). Эта эксплуатация происходила с 27 мая по 9 июня 2026 года, до выхода рекомендации Oracle, что классифицирует её как уязвимость нулевого дня. Значительное большинство затронутых организаций относятся к сектору высшего образования.

Атакующие использовали кастомные агенты MeshCentral, замаскированные под легитимные Облачные сервисы, для выполнения административных команд и запуска скрипта перемещения внутри компании с именем "victim_abbreviation_fanout.sh". Этот скрипт был разработан для облегчения распыления учетных данных против внутренних хостов, используя жестко закодированный список имен пользователей и паролей для получения доступа по SSH. После получения доступа атакующие вставили сообщение о дефейсе в ключевые каталоги скомпрометированных систем.

Кроме того, инфраструктура управления (C2) кампании включала предварительно настроенные бинарные файлы Windows MeshCentral, которые отправляли данные на сервер с доменом, имитирующим легитимные сервисы Microsoft Azure. Среда подготовки оказалась размещена на серверах Python SimpleHTTP, предоставляющих доступ к файлам злоумышленников и истории команд. Атакующие продемонстрировали свои возможности, выполнив разведку внутренней сети и нацелившись на конфигурации Oracle PeopleSoft.

Организации были предупреждены о текущих угрозах, при этом более 100 учреждений получили уведомления, преимущественно в сфере высшего образования. Некоторые успешно нейтрализовали риски, но другие столкнулись с утечками данных, в результате которых конфиденциальная информация была опубликована на сайте утечек данных ShinyHunters.

Для снижения описанных рисков организациям, использующим Oracle PeopleSoft, необходимо отключить Environment Management Hub или ограничить его внешний доступ. Следует провести тщательную проверку файловой системы на наличие несанкционированных файлов, особенно файлов .jsp и неожиданного содержимого в каталогах путей PSEMHUB. Мониторинг исходящего трафика и обнаружение веб-шеллов в указанных каталогах также имеют критическое значение для предотвращения подобных нарушений в будущем.

#ParsedReport #CompletenessMedium
10-06-2026

Inside a WooCommerce Payment Skimmer: How Carders Moved From Phishing Pages to Checkout Backdoors

https://www.cloudsek.com/blog/woocommerce-payment-skimmer-card-data-theft-checkout-backdoor

Report completeness: Medium

Actors/Campaigns:
Magecart

Victims:
E commerce, Online retail, Merchants, Hosting providers

Industry:
E-commerce, Financial

TTPs:
Tactics: 6
Technics: 8

IOCs:
File: 2

Soft:
Razorpay, Telegram

Algorithms:
base64

Functions:
tokenize

Languages:
javascript

Platforms:
apple

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кардеры всё чаще взламывают легитимные интернет-магазины, вместо того чтобы полагаться на фишинг, используя продвинутые веб-скиммеры, которые целенаправленно нацелены на платежные системы WooCommerce и Stripe. Эти скиммеры интегрируются в легитимный процесс оплаты, развертывая поддельные формы для перехвата данных карт во время транзакций, одновременно уклоняясь от обнаружения. Первоначальный доступ часто возникает из-за уязвимостей в устаревших плагинах или слабых учетных данных, что позволяет злоумышленникам устанавливать бэкдоры и бесшумно собирать конфиденциальные данные клиентов.
-----

Кардеры переходят от фишинговых схем к прямому компрометированию легитимных интернет-магазинов.

Разрабатываются продвинутые веб-скиммеры, нацеленные на платёжные системы WooCommerce и Stripe.

Скомпрометированные сайты позволяют злоумышленникам собирать реальные данные карт во время настоящих транзакций.

Был проанализирован высокообфусцированный JavaScript-скиммер, интегрированный в реальный процесс оплаты.

Скимминг-скрипт внедряет поддельную форму ввода, имитирующую легитимный платежный интерфейс.

Этот подход отражает модель Magecart, эксплуатируя доверие клиентов для уклонения от обнаружения.

Скиммер проверяет информацию о карте в реальном времени с использованием определения бренда карты и проверки по алгоритму Луна.

Он собирает конфиденциальные данные, такие как номера карт, даты истечения срока действия и коды CVV.

Собранная информация кодируется для уклонения от обнаружения и выгружается на контролируемую злоумышленником конечную точку.

Первоначальный доступ осуществляется через уязвимости в устаревших плагинах, слабые учетные данные администратора или известные недостатки CMS.

Злоумышленники обычно устанавливают веб-шелл для размещения бэкдоров с целью выполнения кода скиммера.

Скиммар собирает данные во время легитимных транзакций, что затрудняет выявление аномалий.

Меры защиты включают внедрение политик безопасности контента (Content Security Policies) и целостности подресурсов (Subresource Integrity) для ограничения источников скриптов.

Мониторинг целостности на стороне клиента может обнаруживать несанкционированные изменения страниц оформления заказа.

Регулярные проверки баз данных и аналитические проверки необходимы для выявления скомпрометированного кода.

Принципы атак на первоначальный доступ, закрепление и эксфильтрацию согласованы между платежными процессорами.

Онлайн-продавцам следует усилить свои среды оформления заказа против эволюционирующих техник скиммеров.

Это включает удаление вредоносного кода, усиление мер безопасности, обновление систем и обеспечение соответствия требованиям PCI DSS.

#ParsedReport #CompletenessLow
11-06-2026

Chinese Origin Threat Actors Target FIFA World Cup 2026

https://www.cloudsek.com/blog/chinese-origin-threat-actors-target-fifa-world-cup-2026

Report completeness: Low

Threats:
Typosquatting_technique
Mitm_technique
Residential_proxy_technique

Victims:
Fifa world cup attendees, Payment card holders, Sports ticketing

Industry:
Financial

Geo:
Romania, Austria, Saudi arabia, South africa, Lithuania, Chinese, Polish, Mexico, Sweden, China, Australia, Canada, South korea, Germany, Hong kong, Italy, Philippines

ChatGPT TTPs:
do not use without manual check
T1056.003, T1090, T1111, T1557, T1583.001, T1656

IOCs:
Domain: 40
IP: 14
Email: 1

Soft:
Instagram, MySQL, Chrome, Opera

Languages:
php

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники китайского происхождения проводят сложную фишинговую операцию, нацеленную на Чемпионат мира по футболу 2026 года, используя домены-типографы и бэкенд-систему, которая позволяет перехватывать в реальном времени информацию банковских карт и одноразовые пароли (OTP) для обхода двухфакторной аутентификации на основе SMS. Операция имитирует официальный сайт ФИФА с высококачественным контентом и динамическими обновлениями, что позволяет проводить продвинутые атаки типа «человек посередине». Примечательно, что ошибка в безопасности раскрыла конфиденциальные данные сервера, что могло привести к несанкционированному доступу к скомпрометированным базам данных, усиливая угрозу для жертв.
-----

Злоумышленники китайского происхождения атакуют чемпионат мира по футболу 2026 года через многопользовательскую операцию по мошенничеству с билетами.

Кампания включает фишинг и инфраструктуру для снятия карт, имитирующую легитимные сервисы продажи билетов ФИФА.

Используются домены, созданные путём тирпсквоттинга, и комплексная административная система на tbpay.uk.

Настройка фишинга тесно напоминает официальный сайт ФИФА с динамическим контентом, включая расписание матчей и информацию о стадионах.

Бэкенд-система обеспечивает отслеживание сессий жертв в реальном времени и захватывает конфиденциальную информацию платежных карт.

Операция проводит атаки «человек посередине» (MitM) в реальном времени, перехватывая одноразовые пароли (OTP) для обхода двухфакторной аутентификации (2FA) на основе SMS.

Трафик на фишинговые сайты в основном поступает из социальных сетей, таких как Facebook и Instagram.

Домен tbpay.uk, связанный с прошлыми фишинговыми активностями, не имеет соответствующих финансовых регуляторных разрешений.

Открытая PHP-страница отладки содержала конфиденциальную информацию о сервере, включая имена баз данных, что позволяло потенциально несанкционированный доступ к бэкенд-базе данных MySQL.

Ошибки в операционной безопасности увеличивают риски, облегчая обход проверок перекрёстной верификации в легитимных системах.

Набор для фишинга демонстрирует возможности отслеживания ввода OTP в реальном времени, что указывает на сложный подход к управлению обходом аутентификации.

Платформа захватывает платежные данные и ставит под угрозу безопасность учетных записей жертв, связанных с скомпрометированными номерами телефонов.

Финансовое воздействие операции остается неопределенным, поскольку отсутствуют проверяемые данные о количестве успешно списанных карт или скомпрометированных учетных записей.

Последние административные входы были зафиксированы по состоянию на июнь 2026 года, однако данные о живом трафике отсутствуют.

Операция по мошенничеству в рамках Чемпионата мира по футболу объединяет несколько мошеннических тактик, что делает её высокоуровневой киберугрозой.

Эти действия отражают злонамеренные намерения организованных акторов, направленные на крупномасштабную финансовую эксплуатацию в ходе мероприятия, связанного с Чемпионатом мира по футболу.

#ParsedReport #CompletenessMedium
06-06-2026

Katz Stealer: Reverse Engineering a Information Stealer

https://medium.com/@ckant/katz-stealer-reverse-engineering-a-information-stealer-2e708948e511

Report completeness: Medium

Threats:
Katz_stealer
Dns_tunneling_technique
Katz_loader
Ngrok_tool

Victims:
Browser users, Messaging users, Gaming, Cryptocurrency, Telecommunications

Industry:
Financial, Entertainment

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1041, T1057, T1074.001, T1082, T1083, T1095, T1105, T1539, have more...

IOCs:
IP: 1
File: 3
Command: 2

Soft:
Discord, Firefox, Telegram, Foxmail, Minecraft, Steam, Chrome

Wallets:
exodus_wallet

Win API:
GetLocaleInfoA, GetSystemInfo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Katz Stealer — это продвинутое ВПО, ориентированное на кражу информации, которое уклоняется от обнаружения, избегая своей страны происхождения и профилируя пользователей перед кражей данных. Оно устанавливает C2-связь по протоколу TCP с конкретным IP-адресом и выполняет цикл загрузки для получения дополнительных полезной нагрузки. Нацеливаясь на веб-браузеры, такие как Chrome и Edge, оно перехватывает сеансы для эксфильтрации конфиденциальной информации, такой как файлы cookie, учетные данные для входа и учетные данные Wi-Fi, а также собирает данные из мессенджеров и игровых клиентов.
-----

Katz Stealer — это сложное ВПО, предназначенное для кражи информации, которое использует несколько ключевых техник в своей работе. Изначально ВПО проводит географическую проверку, жестко запрограммированную на избегание заражения систем в стране своего происхождения, что снижает риск обнаружения местными правоохранительными органами. После этого оно профилирует пользователя, оценивая его потенциальную ценность как цели, прежде чем переходить к краже.

Связь с сервером управления (управление) (C2) устанавливается через протокол TCP, конкретно к IP-адресу 185.107.74.40 на порту 3131. Перед кражей данных Katz запускает цикл загрузки, получая дополнительные полез

Katz целенаправленно атакует популярные веб-браузеры, такие как Chrome, Edge и Brave, где он перехватывает процессы для внедрения сессий с целью кражи конфиденциальной информации непосредственно из пользовательских сессий. Он проводит методичный процесс эксфильтрации, систематически загружая ценные данные на свой C2-сервер. ВПО запрограммировано на извлечение и загрузку файлов cookie, что позволяет последующий перехват сессий без необходимости использования паролей.

Дальнейший анализ показывает, что Katz ищет определенные папки и файлы, связанные с Discord и Firefox, извлекая учетные данные и токены сессий. Вредоносное ПО также исследует различные мессенджеры, в частности Телеграм, где оно собирает данные из папок tdata пользователей, что критически важно для доступа к конфиденциальной информации и кодам 2FA.

Кроме того, Katz собирает системную информацию, идентифицируя устройство и извлекая сохраненные учетные данные Wi-Fi в открытом виде. Он также нацелен на конфигурации ngrok для получения токенов туннелирования и перехватывает учетные данные из множества игровых клиентов, обеспечивая охват широкого спектра потенциальных целей.

В заключение, Katz Stealer демонстрирует комплексный подход к краже информации, используя различные методы для обхода географического обнаружения, эксфильтрации конфиденциальных данных через различные платформы и максимизации объема похищенной информации с скомпрометированных систем.

#ParsedReport #CompletenessHigh
12-06-2026

Borrowed Trust – Systematic Exploitation of Abandoned Cloud DNS Delegations to serve Thai Gambling SEO Content

https://cyble.com/blog/borrowed-trust-cloud-dns-takeover-thai-gambling-seo-poisoning/

Report completeness: High

Threats:
Seo_poisoning_technique

Victims:
Federal government agencies, Healthcare organizations, Financial institutions, Critical infrastructure operators, Universities, Telecommunications, Pharmaceutical sector, Electronics sector, Retail sector, Energy sector, have more...

Industry:
Critical_infrastructure, Energy, Retail, Healthcare, Financial, Government, Iot, Education

Geo:
Guangdong, Chinese, Thailand, Indian, Hong kong, China

TTPs:
Tactics: 7
Technics: 8

IOCs:
File: 2
Domain: 6
IP: 4
Url: 1
Hash: 1

Soft:
ThinkPHP, MySQL, Cloudflare R2

Algorithms:
md5, sha1

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлена широкомасштабная кампания по отравлению поисковой оптимизации (SEO), использующая заброшенные делегирования зон облачного DNS для распространения тайскоязычного контента азартных игр, затронувшая 163 организации по всему миру. Злоумышленники осуществляют захват зон Azure DNS, выявляя «сиротские» зоны, развертывая приложения для азартных игр под легитимными доменами и получая действительные сертификаты TLS. Операция включает сложную инфраструктуру с автоматизированной эксплуатацией уязвимостей DNS, массовым созданием поддоменов и широким использованием партнерского маркетинга для монетизации, что подчеркивает уязвимости в неправильной настройке DNS в облачных средах.
-----

Labs CRIL (Cyble Research & Intelligence) раскрыли масштабную кампанию отравления поисковой оптимизации (SEO), которая использует заброшенные делегирования зон облачной DNS для распространения тайского контента азартных игр, затрагивая 163 организации в более чем 30 странах. Эта операция использует захват зон Azure DNS, эксплуатируя распространенную практику не удаления делегирований NS, связанных с выведенной из эксплуатации облачной инфраструктурой. Злоумышленники выявляют эти осиротевшие зоны, захватывают их через новые подписки Azure и развертывают приложения для азартных игр под видом легитимных корпоративных доменов, используя действительные сертификаты TLS от Let's Encrypt.

Выполнение атаки включает несколько механизмов, главным образом захват зоны DNS Azure, который затрагивает более 150 организаций. Атакующий использует ошибку разрешения имен, развертывая подстановочные A-записи, которые перенаправляют все поддомены скомпрометированной организации на конкретные IP-адреса доставки, получая сертификат в процессе. CRIL выявила сложную инфраструктуру, поддерживающую эту кампанию, которая включает не только автоматизированную эксплуатацию DNS, но и систематическую стратегию монетизации через структуры аффилированного маркетинга. Индикаторы компрометации включали широкое использование идентичных приложений Next.js и последовательные исходящие аффилированные перенаправления через скомпрометированные домены, обеспечивая направление трафика на регистрацию в азартных играх.

Примечательно обнаружение более 1 000 поддоменов с уникальными именами, связанных с доменом Verizon, каждый из которых обслуживал контент для азартных игр и указывал на массовое создание записей, вероятно, из автоматизированных DNS-скриптов или скомпрометированных учетных данных DNS. Эта эксплуатация в двух случаях распространяется дальше на зоны DNS DigitalOcean, что подтверждает способность актора к оперативной работе по нацеливанию на несколько облачных провайдеров.

CRIL подчеркнула присущие уязвимости, связанные с неправильной настройкой DNS в облачных средах, в частности закрепление делегирований NS после отмены проектов. В отчете указано, что заброшенные зоны могут часто захватываться новыми абонентами, что позволяет злоумышленникам получать доступ к легитимному авторитету домена без необходимости проникновения через какие-либо периметры безопасности.

Стратегии устранения последствий сосредоточены на удалении делегирований NS для скомпрометированных зон и аудите всех DNS-записей для обеспечения отсутствия подобных уязвимостей. Эффективное обнаружение зависит от мониторинга на уровне DNS, а не от традиционных средств защиты, поскольку настройка атаки остается незамеченной за действительными сертификатами и доверенными доменами. Организациям рекомендуется оценивать свои DNS-конфигурации, чтобы избежать лазеек, которые могут быть использованы аналогичным образом в будущем, уделяя особое внимание ясности и управлению настройками облачного DNS. Кампания подчеркивает критический пробел в безопасности, при котором остаточные DNS-артефакты от выведенных из эксплуатации проектов могут быть присвоены в злонамеренных целях без какого-либо прямого проникновения в системы предприятия.

#ParsedReport #CompletenessLow
11-06-2026

Arctic Wolf Observes an Increase in Palo Alto Networks GlobalProtect Authentication Bypass Exploitation via CVE-2026-0257

https://arcticwolf.com/resources/blog/arctic-wolf-observes-increase-in-palo-alto-networks-globalprotect-authentication-bypass-exploitation-via-cve-2026-0257/

Report completeness: Low

Threats:
Impacket_tool

Victims:
Insurance, Finance, Manufacturing, Education, Engineering, Healthcare, Europe, North america, United states

Industry:
Financial, Education, Healthcare

Geo:
America, United states

CVEs:
CVE-2026-0257 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.7, 10.2.8, 10.2.9, 10.2.10, 10.2.11)


ChatGPT TTPs:
do not use without manual check
T1046, T1087.002, T1133, T1135, T1190, T1550.004

IOCs:
IP: 2

Soft:
PAN-OS, Linux

Links:
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/globalprotect-cve-2026-0257-increase

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Arctic Wolf сообщил о росте эксплуатации уязвимости обхода аутентификации CVE-2026-0257 в PAN-OS от Palo Alto Networks, позволяющей удаленным злоумышленникам подделывать cookies аутентификации для несанкционированного доступа к VPN. Этот всплеск последовал за публикацией кода эксплойта, при этом активность характеризовалась попытками входа с виртуальных частных серверов (VPS), приводящими к установлению IPSec-туннелей и внутренней разведке с использованием инструмента Impacket. Хотя многие попытки завершились неудачей, некоторые оказались успешными, позволив злоумышленникам выполнять SMB-разведку и обнаружение пользователей домена внутри затронутых сетей.
-----

Arctic Wolf сообщил о всплеске эксплуатации уязвимости обхода аутентификации CVE-2026-0257, затрагивающей PAN-OS GlobalProtect и Prisma Access от Palo Alto Networks. Этот рост был зафиксирован с конца мая по начало июня 2026 года и был вызван публикацией кода эксплойта и подробных описаний уязвимости. Успешная эксплуатация зависит от конкретных конфигураций: портал или шлюз GlobalProtect должны быть доступны извне, а файлы cookie обхода аутентификации должны повторно использоваться или быть раскрыты вместе с сертификатом, на который они опираются. Изначально вредоносная активность характеризовалась подозрительными попытками входа с виртуальных частных серверов, что приводило к созданию туннелей IPSec и последующим внутренним разведывательным действиям, указывающим на использование инструментов Impacket.

CVE-2026-0257 позволяет удалённым неаутентифицированным злоумышленникам подделывать cookies аутентификации, обеспечивая несанкционированный доступ к VPN при определённых условиях конфигурации. Её уровень серьёзности был пересмотрен с показателя CVSS 4.7 до 7.8 в связи с растущей осведомлённостью и публикацией методов эксплуатации. Эта уязвимость затронула различные сектора, включая финансы, здравоохранение и образование, преимущественно в организациях Европы и Северной Америки.

Выявленные шаблоны эксплуатации продемонстрировали значительные попытки входа в учетные записи администраторов GlobalProtect с использованием, в частности, аутентификации на основе cookie с инфраструктуры VPS. Хотя большинство вторжений сопровождалось повторяющимися отказами в аутентификации, некоторые из них привели к установлению авторизованных сессий, что повлекло за собой автоматизированную SMB-разведку и перечисление сетевых ресурсов. Такое поведение указывает на то, что злоумышленники использовали несанкционированный доступ по VPN для облегчения дальнейших действий во внутренней сети.

Наблюдаемая активность последовательно демонстрировала паттерны немедленных действий после аутентификации, включающих запросы сессий SMB и обнаружение доменных пользователей, при этом злоумышленники быстро переходили от успешного установления соединения по VPN к разведке. Несмотря на очевидные возможности, указываемые этими действиями, большинство эксплуатаций не выходило за рамки начальных вторжений.

Рекомендации по защите сосредоточены на мониторинге подозрительных событий аутентификации, особенно с IP-адресов узлов выхода VPS или Tor, аномальных шаблонов входа и признаков активности Impacket после сессий VPN. Организациям, использующим GlobalProtect, рекомендуется тщательно анализировать попытки входа и последующее поведение сессий для выявления и предотвращения потенциальной эксплуатации.

#ParsedReport #CompletenessLow
12-06-2026

UNC1151/Ghostwriter phishing campaign targeting Gmail accounts

https://cert.pl/en/posts/2026/06/UNC1151-gmail-campaign/

Report completeness: Low

Actors/Campaigns:
Ghostwriter

Threats:
Credential_harvesting_technique

Victims:
Gmail users, Polish citizens, Public administration, Law enforcement, Researchers, Journalists, Political and public life, Translators, Court experts, Polish organizations, have more...

Geo:
Polish

ChatGPT TTPs:
do not use without manual check
T1056.003, T1078, T1111, T1114.002, T1190, T1566.002, T1583.001, T1583.006, T1584, T1585.002, have more...

IOCs:
Email: 7
Domain: 6

Soft:
Gmail

Win API:
ellipse

Win Services:
CVD

#ParsedReport #GeneratedSchema
Generated with GPT-4