#ParsedReport #CompletenessHigh
29-06-2026
From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira
https://thedfirreport.com/2026/06/29/from-bing-search-to-ransomware-bumblebee-and-adaptixc2-deliver-akira-3/
Report completeness: High
Threats:
Bumblebee
Adaptixc2_tool
Akira_ransomware
Seo_poisoning_technique
Dll_sideloading_technique
Nltest_tool
Lolbin_technique
Rustdesk_tool
Credential_harvesting_technique
Byovd_technique
Shadow_copies_delete_technique
Cloudflared_tool
Av-killer
Dllsearchorder_hijacking_technique
Supply_chain_technique
Process_injection_technique
Minidump_tool
Credential_dumping_technique
Impacket_tool
Softperfect_netscan_tool
Powerview_tool
Powersploit_tool
Mremoteng_tool
Passthehash_technique
Victims:
Telecommunications, Information technology
Industry:
Critical_infrastructure
Geo:
Russian, Chinese, Ukraine, Russia, Belarus
TTPs:
Tactics: 11
Technics: 28
IOCs:
File: 38
Domain: 23
IP: 14
Path: 22
Command: 3
Hash: 3
Soft:
Windows Address Book, Windows service, Active Directory, Ivanti, PostgreSQL, SoftPerfect Network Scanner, Windows Security, Windows SSH, Linux, Windows Shell, have more...
Algorithms:
base64
Functions:
Sysmon, Get-ADComputer, Get-ADUser, Get-DnsServerZone, Get-Process
Win API:
GetSystemDefaultLocaleName, ExitProcess, EXE, NETBIOS
Languages:
powershell
YARA: Found
SIGMA: Found
Links:
have more...
29-06-2026
From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira
https://thedfirreport.com/2026/06/29/from-bing-search-to-ransomware-bumblebee-and-adaptixc2-deliver-akira-3/
Report completeness: High
Threats:
Bumblebee
Adaptixc2_tool
Akira_ransomware
Seo_poisoning_technique
Dll_sideloading_technique
Nltest_tool
Lolbin_technique
Rustdesk_tool
Credential_harvesting_technique
Byovd_technique
Shadow_copies_delete_technique
Cloudflared_tool
Av-killer
Dllsearchorder_hijacking_technique
Supply_chain_technique
Process_injection_technique
Minidump_tool
Credential_dumping_technique
Impacket_tool
Softperfect_netscan_tool
Powerview_tool
Powersploit_tool
Mremoteng_tool
Passthehash_technique
Victims:
Telecommunications, Information technology
Industry:
Critical_infrastructure
Geo:
Russian, Chinese, Ukraine, Russia, Belarus
TTPs:
Tactics: 11
Technics: 28
IOCs:
File: 38
Domain: 23
IP: 14
Path: 22
Command: 3
Hash: 3
Soft:
Windows Address Book, Windows service, Active Directory, Ivanti, PostgreSQL, SoftPerfect Network Scanner, Windows Security, Windows SSH, Linux, Windows Shell, have more...
Algorithms:
base64
Functions:
Sysmon, Get-ADComputer, Get-ADUser, Get-DnsServerZone, Get-Process
Win API:
GetSystemDefaultLocaleName, ExitProcess, EXE, NETBIOS
Languages:
powershell
YARA: Found
SIGMA: Found
Links:
have more...
https://github.com/SigmaHQ/sigma/blob/master/rules/windows/process\_creation/proc\_creation\_win\_susp\_system\_exe\_anomaly.ymlhttps://github.com/Adaptix-Framework/AdaptixC2https://github.com/hasherezade/pe-sieveThe DFIR Report
From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira - The DFIR Report
Key Takeaways This case was first reported to customers in a threat brief released in July 2025 and in a public flash alert in August 2025 in partnership with Swisscom B2B CSIRT, which observed another intrusion tied to the same campaign. This report contains…
CTT Report Hub
#ParsedReport #CompletenessHigh 29-06-2026 From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira https://thedfirreport.com/2026/06/29/from-bing-search-to-ransomware-bumblebee-and-adaptixc2-deliver-akira-3/ Report completeness: High Threats:…
#ParsedReport #ExtractedSchema
Classified images:
windows: 18, table: 16, dump: 1, code: 11, schema: 6, chart: 1
Classified images:
windows: 18, table: 16, dump: 1, code: 11, schema: 6, chart: 1
CTT Report Hub
#ParsedReport #CompletenessHigh 29-06-2026 From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira https://thedfirreport.com/2026/06/29/from-bing-search-to-ransomware-bumblebee-and-adaptixc2-deliver-akira-3/ Report completeness: High Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В июле 2025 года вредоносная кампания с использованием вредоносного ПО BumbleBee применяла Отравление поисковой оптимизации (SEO) для доставки троянизированных установщиков, выполняя загрузчик первого этапа, который устанавливал связь с C2. Злоумышленник повышал привилегии и выполнял перемещение внутри компании с использованием RDP, развертывая инструменты для сбора учетных записей и эксфильтрации данных, в конечном итоге передав более 75 ГБ конфиденциальных данных. Операция привела к развертыванию ransomware Akira, используя передовые техники уклонения, боковую загрузку DLL и сетевые сканирования для достижения обширного контроля над целевой средой.
-----
В июле 2025 года вредоносная кампания BumbleBee нацелилась на пользователей через Отравление поисковой оптимизации (SEO), в частности используя поддельный сайт, маскирующийся под ManageEngine OpManager. Жертвы скачали троянизированный MSI-установщик, который выполнил загрузчик первого этапа BumbleBee (msimg32.dll) через боковую загрузку DLL. Этот первоначальный доступ установил связь управления (C2) с инфраструктурой, контролируемой злоумышленником. Вскоре после этого, примерно через пять часов после заражения, актор развернул AdgNsy.exe — переименованную утилиту Windows Address Book, встроенную с shellcode AdaptixC2, что обеспечило постоянную связь C2 и обширную разведку внутренней сети.
Злоумышленник повысил привилегии, создав доменные учетные записи с правами Enterprise Admin и развернув RustDesk на нескольких серверах. В течение трех дней они осуществляли перемещение внутри компании с использованием RDP, атаковали контроллеры домена и резервные серверы, собирали конфиденциальные данные с помощью строгих тактик сбора учетных записей и использовали такие инструменты, как wbadmin.exe, для выгрузки файла NTDS.dit, содержащего учетные данные активного каталога. Они применяли различные техники для обхода защиты, включая использование обратного SSH-туннеля для проксирования трафика RDP и применение смешанного регистра для обфускации командной строки.
Эксфильтрация данных осуществлялась с использованием FileZilla, которое актор, вероятно, внедрил через буфер обмена RDP, что позволило передать более 75 ГБ конфиденциальных данных, включая файловые шары и конфигурации SYSVOL, на сервер в Украине. Инцидент завершился развертыванием ransomware Akira примерно через 44 часа после первоначального доступа, при этом использовался бинарный файл locker.exe для шифрования ресурсов домена и дочернего домена, а затем инициировалось удаление теневых копий тома через WMI.
В ходе этой операции вредоносное ПО BumbleBee продемонстрировало сложные методы перемещения внутри компании и сбора данных, используя команды из утилит Windows и выполняя сетевые сканирования с помощью таких инструментов, как SoftPerfect Network Scanner. Фреймворк управления (command-and-control) AdaptixC2 обеспечивал устойчивую связь, одновременно облегчая злоумышленникам возможность для перемещения внутри компании и выполнения удаленных команд, что оказало значительное влияние на целевую среду.
Вектор нагрузки продемонстрировал продвинутые тактики подгрузки DLL и возможности внедрения кода в процессы для обхода обнаружения, одновременно используя встроенные системные утилиты и скрипты PowerShell для сбора информации о системе и развертывания дополнительных инструментов. Этот детальный анализ указывает на скоординированную и скрытую кибератаку, которая объединила различные методы атаки для достижения широкого сетевого доступа и контроля над данными, что в итоге привело к развертыванию программы-вымогателя.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В июле 2025 года вредоносная кампания с использованием вредоносного ПО BumbleBee применяла Отравление поисковой оптимизации (SEO) для доставки троянизированных установщиков, выполняя загрузчик первого этапа, который устанавливал связь с C2. Злоумышленник повышал привилегии и выполнял перемещение внутри компании с использованием RDP, развертывая инструменты для сбора учетных записей и эксфильтрации данных, в конечном итоге передав более 75 ГБ конфиденциальных данных. Операция привела к развертыванию ransomware Akira, используя передовые техники уклонения, боковую загрузку DLL и сетевые сканирования для достижения обширного контроля над целевой средой.
-----
В июле 2025 года вредоносная кампания BumbleBee нацелилась на пользователей через Отравление поисковой оптимизации (SEO), в частности используя поддельный сайт, маскирующийся под ManageEngine OpManager. Жертвы скачали троянизированный MSI-установщик, который выполнил загрузчик первого этапа BumbleBee (msimg32.dll) через боковую загрузку DLL. Этот первоначальный доступ установил связь управления (C2) с инфраструктурой, контролируемой злоумышленником. Вскоре после этого, примерно через пять часов после заражения, актор развернул AdgNsy.exe — переименованную утилиту Windows Address Book, встроенную с shellcode AdaptixC2, что обеспечило постоянную связь C2 и обширную разведку внутренней сети.
Злоумышленник повысил привилегии, создав доменные учетные записи с правами Enterprise Admin и развернув RustDesk на нескольких серверах. В течение трех дней они осуществляли перемещение внутри компании с использованием RDP, атаковали контроллеры домена и резервные серверы, собирали конфиденциальные данные с помощью строгих тактик сбора учетных записей и использовали такие инструменты, как wbadmin.exe, для выгрузки файла NTDS.dit, содержащего учетные данные активного каталога. Они применяли различные техники для обхода защиты, включая использование обратного SSH-туннеля для проксирования трафика RDP и применение смешанного регистра для обфускации командной строки.
Эксфильтрация данных осуществлялась с использованием FileZilla, которое актор, вероятно, внедрил через буфер обмена RDP, что позволило передать более 75 ГБ конфиденциальных данных, включая файловые шары и конфигурации SYSVOL, на сервер в Украине. Инцидент завершился развертыванием ransomware Akira примерно через 44 часа после первоначального доступа, при этом использовался бинарный файл locker.exe для шифрования ресурсов домена и дочернего домена, а затем инициировалось удаление теневых копий тома через WMI.
В ходе этой операции вредоносное ПО BumbleBee продемонстрировало сложные методы перемещения внутри компании и сбора данных, используя команды из утилит Windows и выполняя сетевые сканирования с помощью таких инструментов, как SoftPerfect Network Scanner. Фреймворк управления (command-and-control) AdaptixC2 обеспечивал устойчивую связь, одновременно облегчая злоумышленникам возможность для перемещения внутри компании и выполнения удаленных команд, что оказало значительное влияние на целевую среду.
Вектор нагрузки продемонстрировал продвинутые тактики подгрузки DLL и возможности внедрения кода в процессы для обхода обнаружения, одновременно используя встроенные системные утилиты и скрипты PowerShell для сбора информации о системе и развертывания дополнительных инструментов. Этот детальный анализ указывает на скоординированную и скрытую кибератаку, которая объединила различные методы атаки для достижения широкого сетевого доступа и контроля над данными, что в итоге привело к развертыванию программы-вымогателя.
#ParsedReport #CompletenessLow
02-07-2026
Branded Gambling Campaigns: How Scammers Are Exploiting Trusted Brand Names to Drive Casino Traffic
https://www.netcraft.com/blog/branded-gambling-campaigns-how-scammers-are-exploiting-trusted-brands
Report completeness: Low
Victims:
Consumers, Financial institutions, Retail, Streaming services, Lottery, Gambling
Industry:
Financial, Entertainment, Game_industry, Retail
Geo:
Spanish, Australia, Canadian, Irish, German
ChatGPT TTPs:
T1036, T1204.001, T1583.001
IOCs:
Domain: 12
Soft:
Google Play, Instagram, TikTok
Platforms:
apple
Links:
02-07-2026
Branded Gambling Campaigns: How Scammers Are Exploiting Trusted Brand Names to Drive Casino Traffic
https://www.netcraft.com/blog/branded-gambling-campaigns-how-scammers-are-exploiting-trusted-brands
Report completeness: Low
Victims:
Consumers, Financial institutions, Retail, Streaming services, Lottery, Gambling
Industry:
Financial, Entertainment, Game_industry, Retail
Geo:
Spanish, Australia, Canadian, Irish, German
ChatGPT TTPs:
do not use without manual checkT1036, T1204.001, T1583.001
IOCs:
Domain: 12
Soft:
Google Play, Instagram, TikTok
Platforms:
apple
Links:
https://github.com/netcraftNetcraft
Branded Gambling Campaigns: How Scammers Exploit Trusted Brands
Learn how scammers use fake gambling ads, app store pages, and PWAs to impersonate trusted brands and drive users to online casinos.
CTT Report Hub
#ParsedReport #CompletenessLow 02-07-2026 Branded Gambling Campaigns: How Scammers Are Exploiting Trusted Brand Names to Drive Casino Traffic https://www.netcraft.com/blog/branded-gambling-campaigns-how-scammers-are-exploiting-trusted-brands Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленники используют известные названия брендов для создания обманных рекламных объявлений, которые направляют трафик на мошеннические сайты онлайн-казино. Пользователи сталкиваются с вводящими в заблуждение объявлениями на таких платформах, как Facebook и Instagram, которые ведут на поддельные целевые страницы, имитирующие доверенные бренды. Эти страницы продвигают прогрессивное веб-приложение (PWA), которое выглядит правдоподобно, но перенаправляет пользователей на платформу для ставок, предназначенную для извлечения средств, при этом мошенники получают выгоду от партнерской модели, основанной на вводящих в заблуждение ассоциациях с брендами и поддельных отзывах.
-----
Рассматриваемая кампания демонстрирует, как злоумышленники используют известные бренды для создания вводящих в заблуждение рекламных объявлений, направленных на привлечение трафика на мошеннические сайты онлайн-казино. Потребители сталкиваются с платными объявлениями на таких платформах, как Facebook и Instagram, которые ложно заявляют о партнерстве или предложениях от доверенных брендов, таких как банки и розничные торговцы. При нажатии на эти объявления пользователи перенаправляются на поддельные целевые страницы, имитирующие брендинг компаний, таких как Monzo, Tesco или Netflix, где представлены сфабрикованные отзывы или продукты, например, вымышленная игра в онлайн-слоты.
Попав на эти целевые страницы, пользователи убеждаются в том, что получают доступ к легитимным приложениям, однако на самом деле они устанавливают прогрессивное веб-приложение (PWA) вместо традиционных приложений. Это PWA действует как ярлык на домашнем экране пользователя, содержащий логотип имитируемого бренда. При открытии PWA загружает сайт для азартных игр, настроенный злоумышленниками, сохраняя при этом иллюзию легитимного брендового приложения. Использование параметров отслеживания аффилированных лиц как внутри PWA, так и в URL-адресах казино указывает на то, что бизнес-модель злоумышленника строится на привлечении пользователей такими обманными способами, при этом модели выплат, по сообщениям, варьируются от 50 до 350 долларов за каждого клиента, внесшего депозит.
Рекламные объявления и целевые страницы характеризуются нарастающими уровнями имперсонации брендов, используя поддельные записи в магазинах приложений, которые имитируют страницы Google Play или Apple App Store. В этих подделках злоумышленники создают фиктивные записи с вводящими в заблуждение рейтингами и отзывами, якобы для повышения доверия. Имена доменов для целевых страниц часто используют неопределенные или случайные комбинации слов, снижая вероятность обнаружения стандартными механизмами борьбы с мошенничеством.
Конечная цель — склонить пользователей к регистрации и внесению средств на связанных онлайн-казино, которые представляют собой функциональные игровые платформы, но не используют прямую Имперсонацию бренда. Мошенники используют узнаваемое брендовое оформление, чтобы ввести пользователей в заблуждение и вызвать доверие, необходимое для эксплуатации. Кампания демонстрирует закрепление и адаптивность злоумышленников в использовании партнерских моделей для извлечения прибыли из неосведомленных потребителей, при этом индикаторы компрометации, связанные с этими усилиями, задокументированы в открытых репозиториях для дальнейшего мониторинга и смягчения последствий.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленники используют известные названия брендов для создания обманных рекламных объявлений, которые направляют трафик на мошеннические сайты онлайн-казино. Пользователи сталкиваются с вводящими в заблуждение объявлениями на таких платформах, как Facebook и Instagram, которые ведут на поддельные целевые страницы, имитирующие доверенные бренды. Эти страницы продвигают прогрессивное веб-приложение (PWA), которое выглядит правдоподобно, но перенаправляет пользователей на платформу для ставок, предназначенную для извлечения средств, при этом мошенники получают выгоду от партнерской модели, основанной на вводящих в заблуждение ассоциациях с брендами и поддельных отзывах.
-----
Рассматриваемая кампания демонстрирует, как злоумышленники используют известные бренды для создания вводящих в заблуждение рекламных объявлений, направленных на привлечение трафика на мошеннические сайты онлайн-казино. Потребители сталкиваются с платными объявлениями на таких платформах, как Facebook и Instagram, которые ложно заявляют о партнерстве или предложениях от доверенных брендов, таких как банки и розничные торговцы. При нажатии на эти объявления пользователи перенаправляются на поддельные целевые страницы, имитирующие брендинг компаний, таких как Monzo, Tesco или Netflix, где представлены сфабрикованные отзывы или продукты, например, вымышленная игра в онлайн-слоты.
Попав на эти целевые страницы, пользователи убеждаются в том, что получают доступ к легитимным приложениям, однако на самом деле они устанавливают прогрессивное веб-приложение (PWA) вместо традиционных приложений. Это PWA действует как ярлык на домашнем экране пользователя, содержащий логотип имитируемого бренда. При открытии PWA загружает сайт для азартных игр, настроенный злоумышленниками, сохраняя при этом иллюзию легитимного брендового приложения. Использование параметров отслеживания аффилированных лиц как внутри PWA, так и в URL-адресах казино указывает на то, что бизнес-модель злоумышленника строится на привлечении пользователей такими обманными способами, при этом модели выплат, по сообщениям, варьируются от 50 до 350 долларов за каждого клиента, внесшего депозит.
Рекламные объявления и целевые страницы характеризуются нарастающими уровнями имперсонации брендов, используя поддельные записи в магазинах приложений, которые имитируют страницы Google Play или Apple App Store. В этих подделках злоумышленники создают фиктивные записи с вводящими в заблуждение рейтингами и отзывами, якобы для повышения доверия. Имена доменов для целевых страниц часто используют неопределенные или случайные комбинации слов, снижая вероятность обнаружения стандартными механизмами борьбы с мошенничеством.
Конечная цель — склонить пользователей к регистрации и внесению средств на связанных онлайн-казино, которые представляют собой функциональные игровые платформы, но не используют прямую Имперсонацию бренда. Мошенники используют узнаваемое брендовое оформление, чтобы ввести пользователей в заблуждение и вызвать доверие, необходимое для эксплуатации. Кампания демонстрирует закрепление и адаптивность злоумышленников в использовании партнерских моделей для извлечения прибыли из неосведомленных потребителей, при этом индикаторы компрометации, связанные с этими усилиями, задокументированы в открытых репозиториях для дальнейшего мониторинга и смягчения последствий.
#ParsedReport #CompletenessLow
06-07-2026
The Email Auth Was Green. The Image Still Carried Malware.
https://www.codeaintel.com/p/the-email-auth-was-green-the-image
Report completeness: Low
Threats:
Spear-phishing_technique
TTPs:
ChatGPT TTPs:
T1027, T1027.009, T1566.001
IOCs:
Hash: 2
Algorithms:
md5, sha256
06-07-2026
The Email Auth Was Green. The Image Still Carried Malware.
https://www.codeaintel.com/p/the-email-auth-was-green-the-image
Report completeness: Low
Threats:
Spear-phishing_technique
TTPs:
ChatGPT TTPs:
do not use without manual checkT1027, T1027.009, T1566.001
IOCs:
Hash: 2
Algorithms:
md5, sha256
Codeaintel
The Email Auth Was Green. The Image Still Carried Malware.
A valid SPF, DKIM, and DMARC result did not stop a Windows executable from riding inside an inline PNG. The control gap is content inspection, not authentication.
CTT Report Hub
#ParsedReport #CompletenessLow 06-07-2026 The Email Auth Was Green. The Image Still Carried Malware. https://www.codeaintel.com/p/the-email-auth-was-green-the-image Report completeness: Low Threats: Spear-phishing_technique TTPs: ChatGPT TTPs: do not…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Дело IRONSCALES выявило уязвимость в безопасности электронной почты, где вредоносное ПО было скрыто во встроенных изображениях, таких как файлы PNG, обойдя стандартные проверки аутентификации (SPF, DKIM, DMARC). Этот инцидент соответствует техникам MITRE ATT&CK T1566.001 (Целевой фишинг с вложениями) и T1027 (зашифрованные полезная нагрузка), подчеркивая необходимость более тщательной проверки содержимого за пределами аутентификации отправителя. Дело демонстрирует важность критического анализа содержимого полезной нагрузки электронной почты, а не полагаться исключительно на меры аутентификации.
-----
Случай IRONSCALES демонстрирует существенную уязвимость в безопасности электронной почты, которая позволяет скрыть ВПО внутри кажущихся безобидными встроенных изображений, таких как файлы PNG. Несмотря на то, что письмо прошло проверки на соответствие SPF, DKIM и DMARC — стандартным мерам аутентификации, встроенная вредоносная нагрузка смогла обойти эти защиты. Это демонстрирует критический пробел в практике проверки содержимого, поскольку обнаружение угроз должно фокусироваться на доставляемом содержимом, а не только на аутентификации отправителя.
Специфическая техника, примененная в этом инциденте, соответствует фреймворку MITRE ATT&CK, в частности T1566.001, относящейся к целевому фишингу с вложением, и T1027, касающейся обфусцированных или встраиваемых полезных нагрузок. Такое сопоставление подчеркивает насущную необходимость усиления протоколов проверки, которые будут глубже анализировать содержимое полезной нагрузки, а не полагаться исключительно на метки аутентификации. Обнаружение таких угроз требует не только внимания к легитимности домена отправителя, но и тщательного анализа структур файлов, содержащихся в сообщении.
Важно отметить необходимость человеческого контекста при работе с этими потенциальными угрозами. Хотя не каждая странность в электронном письме должна восприниматься как злонамеренная, любое трение в доставке контента должно вызывать дополнительную проверку. Этот случай демонстрирует, что легитимные домены не следует блокировать исключительно на основе изолированных инцидентов передачи ВПО через аутентифицированные каналы. Аналогично, он предостерегает от обобщенной оценки, которая рассматривает все встроенные изображения как угрозы, подчеркивая, что DMARC не должен просто служить приговором безопасности содержимого письма.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Дело IRONSCALES выявило уязвимость в безопасности электронной почты, где вредоносное ПО было скрыто во встроенных изображениях, таких как файлы PNG, обойдя стандартные проверки аутентификации (SPF, DKIM, DMARC). Этот инцидент соответствует техникам MITRE ATT&CK T1566.001 (Целевой фишинг с вложениями) и T1027 (зашифрованные полезная нагрузка), подчеркивая необходимость более тщательной проверки содержимого за пределами аутентификации отправителя. Дело демонстрирует важность критического анализа содержимого полезной нагрузки электронной почты, а не полагаться исключительно на меры аутентификации.
-----
Случай IRONSCALES демонстрирует существенную уязвимость в безопасности электронной почты, которая позволяет скрыть ВПО внутри кажущихся безобидными встроенных изображений, таких как файлы PNG. Несмотря на то, что письмо прошло проверки на соответствие SPF, DKIM и DMARC — стандартным мерам аутентификации, встроенная вредоносная нагрузка смогла обойти эти защиты. Это демонстрирует критический пробел в практике проверки содержимого, поскольку обнаружение угроз должно фокусироваться на доставляемом содержимом, а не только на аутентификации отправителя.
Специфическая техника, примененная в этом инциденте, соответствует фреймворку MITRE ATT&CK, в частности T1566.001, относящейся к целевому фишингу с вложением, и T1027, касающейся обфусцированных или встраиваемых полезных нагрузок. Такое сопоставление подчеркивает насущную необходимость усиления протоколов проверки, которые будут глубже анализировать содержимое полезной нагрузки, а не полагаться исключительно на метки аутентификации. Обнаружение таких угроз требует не только внимания к легитимности домена отправителя, но и тщательного анализа структур файлов, содержащихся в сообщении.
Важно отметить необходимость человеческого контекста при работе с этими потенциальными угрозами. Хотя не каждая странность в электронном письме должна восприниматься как злонамеренная, любое трение в доставке контента должно вызывать дополнительную проверку. Этот случай демонстрирует, что легитимные домены не следует блокировать исключительно на основе изолированных инцидентов передачи ВПО через аутентифицированные каналы. Аналогично, он предостерегает от обобщенной оценки, которая рассматривает все встроенные изображения как угрозы, подчеркивая, что DMARC не должен просто служить приговором безопасности содержимого письма.
#ParsedReport #CompletenessLow
06-07-2026
When checking the URL isn’t enough: a Device Code Phishing attack via a Microsoft website
https://securelist.com/microsoft-device-code-phishing-attack/120350/
Report completeness: Low
Threats:
Device_code_phishing_technique
Victims:
Enterprise users
Industry:
Media, Iot
Geo:
Brazil, Brazilian
ChatGPT TTPs:
T1027.013, T1528, T1566.001, T1566.002, T1656
IOCs:
Email: 1
Soft:
Microsoft Entra, Azure AD
06-07-2026
When checking the URL isn’t enough: a Device Code Phishing attack via a Microsoft website
https://securelist.com/microsoft-device-code-phishing-attack/120350/
Report completeness: Low
Threats:
Device_code_phishing_technique
Victims:
Enterprise users
Industry:
Media, Iot
Geo:
Brazil, Brazilian
ChatGPT TTPs:
do not use without manual checkT1027.013, T1528, T1566.001, T1566.002, T1656
IOCs:
Email: 1
Soft:
Microsoft Entra, Azure AD
CTT Report Hub
#ParsedReport #CompletenessLow 06-07-2026 When checking the URL isn’t enough: a Device Code Phishing attack via a Microsoft website https://securelist.com/microsoft-device-code-phishing-attack/120350/ Report completeness: Low Threats: Device_code_phishing_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя фишинг-кампания использовала Device Authorization Grant OAuth 2.0, нацеливаясь на пользователей через электронные письма, которые выглядели как от юридической фирмы, и направляя их на поддельный портал, имитирующий корпоративный сайт. Злоумышленники манипулировали потоком аутентификации, используя легитимные URL-адреса для перенаправления жертв, тем самым эффективно скрывая свои вредоносные намерения. Этот развивающийся подход демонстрирует сдвиг в тактике, включая нацеливание на конкретные регионы и отказ от вложений в пользу встроенных ссылок, что усложняет обнаружение.
-----
В ходе недавней фишинг-кампании, использующей платформу Microsoft Identity Platform, злоумышленники эксплуатировали механизм Device Authorization Grant спецификации OAuth 2.0, который в основном применяется для упрощения входа на устройства с ограниченными возможностями ввода. Эта схема позволяет пользователям аутентифицировать такие устройства, как смарт-телевизоры или IoT-гаджеты, путем ввода пользовательского кода на вторичном устройстве. В рамках вредоносной кампании использовались фишинговые письма, замаскированные под уведомления от юридической фирмы, которые содержали PDF-файл, защищенный паролем. Вместо традиционного фишингового домена PDF-файлы содержали ссылки на легитимный URL-адрес Microsoft, который перенаправлял пользователей на поддельный портал, имитирующий корпоративный юридический сайт.
Когда пользователи инициируют этот процесс аутентификации, они запрашивают код авторизации на сервере Microsoft, отправляя POST-запрос к указанному URL. В ответе содержатся критические параметры, такие как device_code, user_code и verification_uri, которые направляют пользователей на завершение аутентификации на другом устройстве. Злоумышленники манипулировали этими взаимодействиями, перенаправляя жертв через легитимные платформы, которые функционировали исключительно как прокси для вредоносных конечных точек, тем самым маскируя свои фишинг-активности. В одном из случаев злоумышленники использовали cacoo.com, надежную платформу для создания диаграмм, для перенаправления пользователей, продемонстрировав усовершенствованный подход к эксплуатации открытых перенаправлений для фишинг-атак.
Методология этих атак оказалась адаптивной, с заметным смещением в сторону целевых атак на конкретные географические регионы, такие как Бразилия. Последующие фишинговые попытки отказались от вложений и стали полагаться на встроенные ссылки, что вновь подчеркивает постоянно меняющийся ландшафт угроз. Эта стратегия указывает на серьезную проблему, при которой злоумышленники используют легитимные сервисы, усложняя обнаружение и увеличивая вероятность кражи учетных данных без традиционного развертывания ВПО.
Для снижения рисков, связанных с фишингом через Device Code, пользователям рекомендуется сохранять бдительность и избегать одобрения подозрительных запросов на аутентификацию. Следует проявлять осторожность даже тогда, когда ссылки, по-видимому, ведут на доверенные домены, поскольку злоумышленники часто добавляют параметры перенаправления к легитимным URL-адресам для достижения своих целей. Организациям дополнительно рекомендуется оценивать необходимость Device Code Flow в своей инфраструктуре, потенциально отключая его с помощью Политики условного доступа. Усиленный мониторинг событий входа и обеспечение соответствия устройств, наряду с надежными мерами безопасности электронной почты, необходимы для защиты от таких сложных атак фишинга.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя фишинг-кампания использовала Device Authorization Grant OAuth 2.0, нацеливаясь на пользователей через электронные письма, которые выглядели как от юридической фирмы, и направляя их на поддельный портал, имитирующий корпоративный сайт. Злоумышленники манипулировали потоком аутентификации, используя легитимные URL-адреса для перенаправления жертв, тем самым эффективно скрывая свои вредоносные намерения. Этот развивающийся подход демонстрирует сдвиг в тактике, включая нацеливание на конкретные регионы и отказ от вложений в пользу встроенных ссылок, что усложняет обнаружение.
-----
В ходе недавней фишинг-кампании, использующей платформу Microsoft Identity Platform, злоумышленники эксплуатировали механизм Device Authorization Grant спецификации OAuth 2.0, который в основном применяется для упрощения входа на устройства с ограниченными возможностями ввода. Эта схема позволяет пользователям аутентифицировать такие устройства, как смарт-телевизоры или IoT-гаджеты, путем ввода пользовательского кода на вторичном устройстве. В рамках вредоносной кампании использовались фишинговые письма, замаскированные под уведомления от юридической фирмы, которые содержали PDF-файл, защищенный паролем. Вместо традиционного фишингового домена PDF-файлы содержали ссылки на легитимный URL-адрес Microsoft, который перенаправлял пользователей на поддельный портал, имитирующий корпоративный юридический сайт.
Когда пользователи инициируют этот процесс аутентификации, они запрашивают код авторизации на сервере Microsoft, отправляя POST-запрос к указанному URL. В ответе содержатся критические параметры, такие как device_code, user_code и verification_uri, которые направляют пользователей на завершение аутентификации на другом устройстве. Злоумышленники манипулировали этими взаимодействиями, перенаправляя жертв через легитимные платформы, которые функционировали исключительно как прокси для вредоносных конечных точек, тем самым маскируя свои фишинг-активности. В одном из случаев злоумышленники использовали cacoo.com, надежную платформу для создания диаграмм, для перенаправления пользователей, продемонстрировав усовершенствованный подход к эксплуатации открытых перенаправлений для фишинг-атак.
Методология этих атак оказалась адаптивной, с заметным смещением в сторону целевых атак на конкретные географические регионы, такие как Бразилия. Последующие фишинговые попытки отказались от вложений и стали полагаться на встроенные ссылки, что вновь подчеркивает постоянно меняющийся ландшафт угроз. Эта стратегия указывает на серьезную проблему, при которой злоумышленники используют легитимные сервисы, усложняя обнаружение и увеличивая вероятность кражи учетных данных без традиционного развертывания ВПО.
Для снижения рисков, связанных с фишингом через Device Code, пользователям рекомендуется сохранять бдительность и избегать одобрения подозрительных запросов на аутентификацию. Следует проявлять осторожность даже тогда, когда ссылки, по-видимому, ведут на доверенные домены, поскольку злоумышленники часто добавляют параметры перенаправления к легитимным URL-адресам для достижения своих целей. Организациям дополнительно рекомендуется оценивать необходимость Device Code Flow в своей инфраструктуре, потенциально отключая его с помощью Политики условного доступа. Усиленный мониторинг событий входа и обеспечение соответствия устройств, наряду с надежными мерами безопасности электронной почты, необходимы для защиты от таких сложных атак фишинга.
#ParsedReport #CompletenessMedium
07-07-2026
UAT-7810 continues building ORB networks using new malware
https://blog.talosintelligence.com/uat-7810/
Report completeness: Medium
Actors/Campaigns:
Uat-7810
Uat-5918
Threats:
Lapdogs
Shortleash
Dogleash
Jarleash
Leashtest
Netcat_tool
Victims:
Networking devices, Wireless routers, Aicloud routers, Internet of things devices
Industry:
Iot
Geo:
Chinese, Hong kong, China
CVEs:
CVE-2020-22658 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ruckuswireless r310_firmware (10.5.1.0.199)
CVE-2020-22653 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ruckuswireless r310_firmware (10.5.1.0.199)
CVE-2025-2492 [Vulners]
CVSS V3.1: 9.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2023-25717 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ruckuswireless ruckus_wireless_admin (le10.4)
- ruckuswireless smartzone_ap (<6.1.0.0.9240)
ChatGPT TTPs:
T1001.003, T1059.004, T1090, T1090.003, T1105, T1190, T1562.004, T1572, T1573, T1583.003, have more...
IOCs:
IP: 4
File: 1
Url: 9
Hash: 76
Soft:
ORB networks, Linux, Ruckus, ORB network, Chrome
Algorithms:
base64, base58
Languages:
java
Platforms:
mips, x64, arm
Links:
07-07-2026
UAT-7810 continues building ORB networks using new malware
https://blog.talosintelligence.com/uat-7810/
Report completeness: Medium
Actors/Campaigns:
Uat-7810
Uat-5918
Threats:
Lapdogs
Shortleash
Dogleash
Jarleash
Leashtest
Netcat_tool
Victims:
Networking devices, Wireless routers, Aicloud routers, Internet of things devices
Industry:
Iot
Geo:
Chinese, Hong kong, China
CVEs:
CVE-2020-22658 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ruckuswireless r310_firmware (10.5.1.0.199)
CVE-2020-22653 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ruckuswireless r310_firmware (10.5.1.0.199)
CVE-2025-2492 [Vulners]
CVSS V3.1: 9.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2023-25717 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ruckuswireless ruckus_wireless_admin (le10.4)
- ruckuswireless smartzone_ap (<6.1.0.0.9240)
ChatGPT TTPs:
do not use without manual checkT1001.003, T1059.004, T1090, T1090.003, T1105, T1190, T1562.004, T1572, T1573, T1583.003, have more...
IOCs:
IP: 4
File: 1
Url: 9
Hash: 76
Soft:
ORB networks, Linux, Ruckus, ORB network, Chrome
Algorithms:
base64, base58
Languages:
java
Platforms:
mips, x64, arm
Links:
https://github.com/Mbed-TLS/mbedtlsCisco Talos
UAT-7810 continues building ORB networks using new malware
Talos’ latest findings on UAT-7810 indicate that the threat actor continues to develop their custom-made malware.
CTT Report Hub
#ParsedReport #CompletenessMedium 07-07-2026 UAT-7810 continues building ORB networks using new malware https://blog.talosintelligence.com/uat-7810/ Report completeness: Medium Actors/Campaigns: Uat-7810 Uat-5918 Threats: Lapdogs Shortleash Dogleash Jarleash…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
UAT-7810 — это китайский АТР-актор, ориентированный на создание сетей Оперативного ретрансляционного бокса (ORB) для вторичных атак, использующий сложный арсенал ВПО, включающий бэкдоры, такие как LONGLEASH, SHORTLEASH, DOGLEASH и JARLEASH. LONGLEASH усиливает операции управления, в то время как DOGLEASH действует как пассивный бэкдор для TCP-коммуникаций, используя закодированные данные для удаленного выполнения команд. UAT-7810 эксплуатирует не исправленные уязвимости в устройствах, особенно нацеливаясь на маршрутизаторы Ruckus и применяя разнообразные архитектуры для своих полезной нагрузки, что указывает на комплексную стратегию атаки.
-----
UAT-7810 — это сложная целенаправленная угроза (APT), ориентированная на создание сетей Операционного ретрансляционного блока (ORB), позволяющих вторичным злоумышленникам использовать эти сети для целевых атак. Cisco Talos отслеживает эволюционирующий арсенал ВПО UAT-7810, который включает недавно разработанный бэкдор под названием LONGLEASH, обновленную версию SHORTLEASH, а также два дополнительных семейства ВПО: DOGLEASH и JARLEASH. LONGLEASH расширяет предыдущие функциональные возможности, поддерживая коммуникации управления (C2) и улучшенные сетевые возможности, оставаясь при этом построенным на асинхронном фреймворке для обеспечения эффективности.
UAT-7810 характеризуется как злоумышленник, связанный с Китаем, потенциально сотрудничающий с группами, такими как UAT-5918. Расследования выявили тесную связь через общую инфраструктуру и пересекающиеся инструменты, что указывает на стратегическую координацию, хотя Talos утверждает, что это различные сущности с уникальными целями.
ВПО DOGLEASH действует как пассивный бэкдор для скомпрометированных систем, управляя TCP-коммуникациями через модификации конкретных IP-таблиц и выполняя команды на основе закодированных данных, полученных от атакующего. Этот бэкдор служит постоянным каналом доступа в систему после успешной компрометации. JARLEASH, бэкдор на базе Java, аналогичным образом разворачивается для административного доступа с возможностями, такими как управление файлами и серверные функции для FTP и SFTP.
Более того, UAT-7810 обнаружен эксплуатирующим незакрытые уязвимости, особенно нацеливаясь на беспроводные маршрутизаторы Ruckus и применяя техники для компрометация устройств, хостящих известные CVE, включая CVE-2025-2492. Эта стратегия эксплуатации подчеркивает зависимость UAT-7810 от легко эксплуатируемых слабостей для создания плацдармов для своих операционных схем.
UAT-7810 использовал новые серверы для размещения вредоносных загрузок на нескольких платформах аппаратного обеспечения, включая архитектуры ARM, MIPS и x64. Инфраструктура включает определенные IP-адреса, которые не только обслуживают вредоносные загрузки, но и связаны с попытками эксплуатации различных устройств, демонстрируя более широкие усилия кампании за пределами сетей ORB.
Бинарный файл LEASHTEST, хотя и не является вредоносным сам по себе, указывает на продолжающуюся разработку и тестирование, направленные на платформы MIPS. Его развертывание на скомпрометированных устройствах демонстрирует осторожный подход UAT-7810, поскольку они продолжают расширять свои возможности и обеспечивать работоспособность своих развивающихся технологий.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
UAT-7810 — это китайский АТР-актор, ориентированный на создание сетей Оперативного ретрансляционного бокса (ORB) для вторичных атак, использующий сложный арсенал ВПО, включающий бэкдоры, такие как LONGLEASH, SHORTLEASH, DOGLEASH и JARLEASH. LONGLEASH усиливает операции управления, в то время как DOGLEASH действует как пассивный бэкдор для TCP-коммуникаций, используя закодированные данные для удаленного выполнения команд. UAT-7810 эксплуатирует не исправленные уязвимости в устройствах, особенно нацеливаясь на маршрутизаторы Ruckus и применяя разнообразные архитектуры для своих полезной нагрузки, что указывает на комплексную стратегию атаки.
-----
UAT-7810 — это сложная целенаправленная угроза (APT), ориентированная на создание сетей Операционного ретрансляционного блока (ORB), позволяющих вторичным злоумышленникам использовать эти сети для целевых атак. Cisco Talos отслеживает эволюционирующий арсенал ВПО UAT-7810, который включает недавно разработанный бэкдор под названием LONGLEASH, обновленную версию SHORTLEASH, а также два дополнительных семейства ВПО: DOGLEASH и JARLEASH. LONGLEASH расширяет предыдущие функциональные возможности, поддерживая коммуникации управления (C2) и улучшенные сетевые возможности, оставаясь при этом построенным на асинхронном фреймворке для обеспечения эффективности.
UAT-7810 характеризуется как злоумышленник, связанный с Китаем, потенциально сотрудничающий с группами, такими как UAT-5918. Расследования выявили тесную связь через общую инфраструктуру и пересекающиеся инструменты, что указывает на стратегическую координацию, хотя Talos утверждает, что это различные сущности с уникальными целями.
ВПО DOGLEASH действует как пассивный бэкдор для скомпрометированных систем, управляя TCP-коммуникациями через модификации конкретных IP-таблиц и выполняя команды на основе закодированных данных, полученных от атакующего. Этот бэкдор служит постоянным каналом доступа в систему после успешной компрометации. JARLEASH, бэкдор на базе Java, аналогичным образом разворачивается для административного доступа с возможностями, такими как управление файлами и серверные функции для FTP и SFTP.
Более того, UAT-7810 обнаружен эксплуатирующим незакрытые уязвимости, особенно нацеливаясь на беспроводные маршрутизаторы Ruckus и применяя техники для компрометация устройств, хостящих известные CVE, включая CVE-2025-2492. Эта стратегия эксплуатации подчеркивает зависимость UAT-7810 от легко эксплуатируемых слабостей для создания плацдармов для своих операционных схем.
UAT-7810 использовал новые серверы для размещения вредоносных загрузок на нескольких платформах аппаратного обеспечения, включая архитектуры ARM, MIPS и x64. Инфраструктура включает определенные IP-адреса, которые не только обслуживают вредоносные загрузки, но и связаны с попытками эксплуатации различных устройств, демонстрируя более широкие усилия кампании за пределами сетей ORB.
Бинарный файл LEASHTEST, хотя и не является вредоносным сам по себе, указывает на продолжающуюся разработку и тестирование, направленные на платформы MIPS. Его развертывание на скомпрометированных устройствах демонстрирует осторожный подход UAT-7810, поскольку они продолжают расширять свои возможности и обеспечивать работоспособность своих развивающихся технологий.
#ParsedReport #CompletenessMedium
07-07-2026
One Email Closer to the Edge: UNK_MassTraction & the Physics of Exploitation
https://www.proofpoint.com/us/blog/threat-insight/one-email-closer-edge-unkmasstraction-physics-exploitation
Report completeness: Medium
Actors/Campaigns:
Masstraction (motivation: information_theft, cyber_espionage)
Threats:
Vshell
Icecube
Squareshell
Snowlight
Victims:
Universities, Physics departments, Engineering departments
Industry:
Government, Education
Geo:
China, Canadian, Chinese
CVEs:
CVE-2023-2868 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- barracuda email_security_gateway_300_firmware (le9.2.0.006)
CVE-2025-49113 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.5.10, <1.6.11)
CVE-2024-42009 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.5.8, <1.6.8)
ChatGPT TTPs:
T1036.005, T1041, T1059.004, T1059.007, T1070, T1070.006, T1071.001, T1082, T1083, T1095, have more...
IOCs:
File: 1
Email: 1
IP: 3
Url: 5
Hash: 1
Soft:
Roundcube, Linux, macOS
Algorithms:
sha256
Functions:
__destruct, PHP
Languages:
php, javascript
Links:
07-07-2026
One Email Closer to the Edge: UNK_MassTraction & the Physics of Exploitation
https://www.proofpoint.com/us/blog/threat-insight/one-email-closer-edge-unkmasstraction-physics-exploitation
Report completeness: Medium
Actors/Campaigns:
Masstraction (motivation: information_theft, cyber_espionage)
Threats:
Vshell
Icecube
Squareshell
Snowlight
Victims:
Universities, Physics departments, Engineering departments
Industry:
Government, Education
Geo:
China, Canadian, Chinese
CVEs:
CVE-2023-2868 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- barracuda email_security_gateway_300_firmware (le9.2.0.006)
CVE-2025-49113 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.5.10, <1.6.11)
CVE-2024-42009 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.5.8, <1.6.8)
ChatGPT TTPs:
do not use without manual checkT1036.005, T1041, T1059.004, T1059.007, T1070, T1070.006, T1071.001, T1082, T1083, T1095, have more...
IOCs:
File: 1
Email: 1
IP: 3
Url: 5
Hash: 1
Soft:
Roundcube, Linux, macOS
Algorithms:
sha256
Functions:
__destruct, PHP
Languages:
php, javascript
Links:
https://github.com/fearsoff-org/CVE-2025-49113/blob/main/CVE-2025-49113.phpProofpoint
One Email Closer to the Edge: UNK_MassTraction & the Physics of Exploitation | Proofpoint US
Analyst note: Proofpoint uses the UNK_ designator to define clusters of activity that are still developing and have not been observed for long enough to receive a numerical TA designation. Key
CTT Report Hub
#ParsedReport #CompletenessMedium 07-07-2026 One Email Closer to the Edge: UNK_MassTraction & the Physics of Exploitation https://www.proofpoint.com/us/blog/threat-insight/one-email-closer-edge-unkmasstraction-physics-exploitation Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
С мая 2026 года кластер злоумышленников UNK_MassTraction, связанный с группой, лояльной Китаю, эксплуатировал уязвимость межсайтового скриптинга (XSS) CVE-2024-42009 в почтовых серверах Roundcube в отделах физики и инженерии университетов США и Канады. Атака включает фишинговые письма, доставляющие полезную нагрузку IceCube, которая обращается к DOM для кражи учетных данных и развертывает веб-шелл SquareShell через CVE-2025-49113, усиливая закрепление и уклоняясь от обнаружения. Эта операция указывает на использование скрытых сетей для шпионажа, выявляя почтовые каналы как критические точки входа для более широкого проникновения в сеть.
-----
С мая 2026 года исследовательская группа Proofpoint Threat Research отслеживает кластер злоумышленников, идентифицированный как UNK_MassTraction, приписываемый группе, связанной с Китаем. Этот кластер эксплуатирует уязвимости в почтовых серверах Roundcube в физических и инженерных подразделениях университетов США и Канады, нацеливаясь на организации, имеющие связи с национальной безопасностью и передовыми научными исследованиями. Основной эксплойт, CVE-2024-42009, представляет собой уязвимость межсайтового скриптинга (XSS), которая позволяет выполнять несанкционированный JavaScript при открытии письма, что способствует краже учетных данных и внедрению бэкдоров.
Эксплуатация начинается с доставки фишинговых писем через скомпрометированные учетные записи или поддельные домены. Сообщения разработаны так, чтобы выглядеть безобидно, что повышает вероятность взаимодействия со стороны целевых пользователей. После открытия в уязвимом экземпляре Roundcube встроенный JavaScript-код активируется, загружая вторичную вредоносную нагрузку, известную как IceCube. IceCube использует продвинутые техники, такие как обход ограничений iframe через DOM-обход для доступа ко всему DOM и сеансам аутентификации клиентов Roundcube, что позволяет красть имена пользователей, пароли и даже токены двухфакторной аутентификации (MFA).
После этапа эксфильтрации данных IceCube использует уязвимость десериализации (CVE-2025-49113) для развертывания веб-шелла, называемого SquareShell, на почтовом сервере. Этот веб-шелл позволяет удаленное выполнение через различные функции PHP и маскируется для обхода обнаружения путем имитации поведения легитимных плагинов. Подробное ведение журналов и процедуры очистки, встроенные в IceCube, демонстрируют высокий уровень оперативной безопасности, с наличием механизмов для сокрытия следов злоумышленника и обеспечения устойчивости заражения.
Более того, если первоначальное развертывание веб-шелла не удастся, IceCube может загрузить и выполнить скрипт оболочки, нацеленный на специфичные для архитектуры полезную нагрузку, тем самым расширяя возможности актора. Этот скрипт служит загрузчиком для бэкдора VShell, который использовался в прошлых кампаниях другими противниками, ориентированными на Китай, что демонстрирует скоординированное использование общей вредоносной инфраструктуры.
Использование скрытой сети виртуальных выделенных серверов (Виртуальный выделенный сервер) указывает на связь с более крупной операцией, связанной с шпионажем, при этом низкочастотное, но стратегически значимое целеполагание отражает традиционные тактики шпионажа. Кампания подчеркивает важность защиты почтовых серверов как точек входа в более широкие сетевые инфраструктуры, аналогично тому, как организации защищают другие критические узлы доступа, такие как концентраторы VPN. Как продемонстрировал UNK_MassTraction, каналы электронной почты могут служить прикрытыми каналами для более широких стратегий доступа или проникновения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
С мая 2026 года кластер злоумышленников UNK_MassTraction, связанный с группой, лояльной Китаю, эксплуатировал уязвимость межсайтового скриптинга (XSS) CVE-2024-42009 в почтовых серверах Roundcube в отделах физики и инженерии университетов США и Канады. Атака включает фишинговые письма, доставляющие полезную нагрузку IceCube, которая обращается к DOM для кражи учетных данных и развертывает веб-шелл SquareShell через CVE-2025-49113, усиливая закрепление и уклоняясь от обнаружения. Эта операция указывает на использование скрытых сетей для шпионажа, выявляя почтовые каналы как критические точки входа для более широкого проникновения в сеть.
-----
С мая 2026 года исследовательская группа Proofpoint Threat Research отслеживает кластер злоумышленников, идентифицированный как UNK_MassTraction, приписываемый группе, связанной с Китаем. Этот кластер эксплуатирует уязвимости в почтовых серверах Roundcube в физических и инженерных подразделениях университетов США и Канады, нацеливаясь на организации, имеющие связи с национальной безопасностью и передовыми научными исследованиями. Основной эксплойт, CVE-2024-42009, представляет собой уязвимость межсайтового скриптинга (XSS), которая позволяет выполнять несанкционированный JavaScript при открытии письма, что способствует краже учетных данных и внедрению бэкдоров.
Эксплуатация начинается с доставки фишинговых писем через скомпрометированные учетные записи или поддельные домены. Сообщения разработаны так, чтобы выглядеть безобидно, что повышает вероятность взаимодействия со стороны целевых пользователей. После открытия в уязвимом экземпляре Roundcube встроенный JavaScript-код активируется, загружая вторичную вредоносную нагрузку, известную как IceCube. IceCube использует продвинутые техники, такие как обход ограничений iframe через DOM-обход для доступа ко всему DOM и сеансам аутентификации клиентов Roundcube, что позволяет красть имена пользователей, пароли и даже токены двухфакторной аутентификации (MFA).
После этапа эксфильтрации данных IceCube использует уязвимость десериализации (CVE-2025-49113) для развертывания веб-шелла, называемого SquareShell, на почтовом сервере. Этот веб-шелл позволяет удаленное выполнение через различные функции PHP и маскируется для обхода обнаружения путем имитации поведения легитимных плагинов. Подробное ведение журналов и процедуры очистки, встроенные в IceCube, демонстрируют высокий уровень оперативной безопасности, с наличием механизмов для сокрытия следов злоумышленника и обеспечения устойчивости заражения.
Более того, если первоначальное развертывание веб-шелла не удастся, IceCube может загрузить и выполнить скрипт оболочки, нацеленный на специфичные для архитектуры полезную нагрузку, тем самым расширяя возможности актора. Этот скрипт служит загрузчиком для бэкдора VShell, который использовался в прошлых кампаниях другими противниками, ориентированными на Китай, что демонстрирует скоординированное использование общей вредоносной инфраструктуры.
Использование скрытой сети виртуальных выделенных серверов (Виртуальный выделенный сервер) указывает на связь с более крупной операцией, связанной с шпионажем, при этом низкочастотное, но стратегически значимое целеполагание отражает традиционные тактики шпионажа. Кампания подчеркивает важность защиты почтовых серверов как точек входа в более широкие сетевые инфраструктуры, аналогично тому, как организации защищают другие критические узлы доступа, такие как концентраторы VPN. Как продемонстрировал UNK_MassTraction, каналы электронной почты могут служить прикрытыми каналами для более широких стратегий доступа или проникновения.