Endi mavjud! Telegram Tadqiqoti 2025 — yilning asosiy insaytlari 
CTT Report Hub
Kanalga Telegram’da o‘tish
3 385
Obunachilar
+224 soatlar
+67 kunlar
+3830 kunlar
Ma'lumot yuklanmoqda...
O'xshash kanallar
Taglar buluti
Kirish va chiqish esdaliklari
---
---
---
---
---
---
Obunachilarni jalb qilish
Iyun '26
Iyun '26
+29
0 kanalda
May '26
+75
1 kanalda
Get PRO
Aprel '26
+77
0 kanalda
Get PRO
Mart '26
+105
0 kanalda
Get PRO
Fevral '26
+93
0 kanalda
Get PRO
Yanvar '26
+80
0 kanalda
Get PRO
Dekabr '25
+76
0 kanalda
Get PRO
Noyabr '25
+66
1 kanalda
Get PRO
Oktabr '25
+69
0 kanalda
Get PRO
Sentabr '25
+81
1 kanalda
Get PRO
Avgust '25
+112
0 kanalda
Get PRO
Iyul '25
+66
0 kanalda
Get PRO
Iyun '25
+58
0 kanalda
Get PRO
May '25
+126
0 kanalda
Get PRO
Aprel '25
+74
0 kanalda
Get PRO
Mart '25
+43
0 kanalda
Get PRO
Fevral '25
+57
0 kanalda
Get PRO
Yanvar '25
+75
1 kanalda
Get PRO
Dekabr '24
+63
0 kanalda
Get PRO
Noyabr '24
+60
0 kanalda
Get PRO
Oktabr '24
+77
1 kanalda
Get PRO
Sentabr '24
+99
0 kanalda
Get PRO
Avgust '24
+78
0 kanalda
Get PRO
Iyul '24
+147
2 kanalda
Get PRO
Iyun '24
+96
0 kanalda
Get PRO
May '24
+184
0 kanalda
Get PRO
Aprel '24
+165
2 kanalda
Get PRO
Mart '24
+148
0 kanalda
Get PRO
Fevral '24
+99
0 kanalda
Get PRO
Yanvar '24
+94
0 kanalda
Get PRO
Dekabr '23
+106
0 kanalda
Get PRO
Noyabr '23
+60
0 kanalda
Get PRO
Oktabr '23
+90
0 kanalda
Get PRO
Sentabr '23
+51
0 kanalda
Get PRO
Avgust '23
+67
0 kanalda
Get PRO
Iyul '23
+113
0 kanalda
Get PRO
Iyun '23
+840
0 kanalda
Get PRO
May '23
+18
0 kanalda
Get PRO
Aprel '23
+46
0 kanalda
Get PRO
Mart '23
+115
0 kanalda
Get PRO
Fevral '23
+36
0 kanalda
Get PRO
Yanvar '23
+12
0 kanalda
Get PRO
Dekabr '22
+23
0 kanalda
Get PRO
Noyabr '22
+27
0 kanalda
Get PRO
Oktabr '22
+31
0 kanalda
Get PRO
Sentabr '22
+55
0 kanalda
Get PRO
Avgust '22
+8
0 kanalda
Get PRO
Iyul '22
+11
0 kanalda
Get PRO
Iyun '22
+8
0 kanalda
Get PRO
May '22
+6
0 kanalda
Get PRO
Aprel '22
+238
0 kanalda
| Sana | Obunachilarni jalb qilish | Esdaliklar | Kanallar | |
| 16 Iyun | +3 | |||
| 15 Iyun | +3 | |||
| 14 Iyun | +1 | |||
| 13 Iyun | 0 | |||
| 12 Iyun | 0 | |||
| 11 Iyun | 0 | |||
| 10 Iyun | +6 | |||
| 09 Iyun | +2 | |||
| 08 Iyun | +5 | |||
| 07 Iyun | 0 | |||
| 06 Iyun | +2 | |||
| 05 Iyun | 0 | |||
| 04 Iyun | +1 | |||
| 03 Iyun | +2 | |||
| 02 Iyun | +2 | |||
| 01 Iyun | +2 |
Kanal postlari
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TeamPCP зарекомендовала себя как заметный злоумышленник, занимающийся атаками с использованием программ-вымогателей в Цепочке поставок, эксплуатируя неправильные настройки GitHub Actions для перехвата учетных данных разработчиков и распространения червя Shai-Hulud, заразившего более 170 пакетов в npm и PyPI. Эта автоматизированная кампания развивалась через несколько волн, используя украденные персональные токены доступа для нанесения масштабного ущерба, а также формируя партнерства с группами программ-вымогателей для монетизации своего несанкционированного доступа. Открытие исходного кода Shai-Hulud привело к росту кампаний-подражателей, что свидетельствует об усложнении ландшафта угроз.
-----
TeamPCP выделилась как заметный актор в ландшафте киберугроз, специализируясь на атаках с использованием программ-вымогателей через Цепочку поставок посредством серии автоматизированных кампаний, начавшихся в сентябре 2025 года. Группа эксплуатирует неправильные конфигурации в GitHub Actions для перехвата учетных данных разработчиков и распространения червя под названием Shai-Hulud, который способствует быстрому заражению множества пакетов программного обеспечения. Этот метод эффективно превращает скомпрометированные токены в точки массового доступа, позволяя злоумышленнику отравлять более 170 пакетов на npm и PyPI, а также проникать в репозитории GitHub, содержащие конфиденциальные данные.
Червь Shai-Hulud успешно проник в тысячи пакетов в течение трех волн, каждая из которых была более масштабной, чем предыдущая. Изначально заражение произошло через отравленный пакет от легитимного поставщика программного обеспечения. Последующие волны адаптировались к мерам защиты, внедренным после первоначальных атак. Эксплуатация определенного рабочего процесса GitHub Actions позволила извлечь персональные токены доступа, что в дальнейшем обеспечило автоматическое распространение вредоносных пакетов и позволило избежать протоколов обнаружения. Этот сложный подход демонстрирует сдвиг в динамике угроз, при котором один скомпрометированный аккаунт может привести к масштабным разрушениям в нескольких средах.
Операционная модель TeamPCP предусматривает партнерство с группами вымогателей, такими как Vect и LAPSUS$, превращая похищенный доступ в прибыльные каналы продажи данных и шантажа. Их подход эффективно объединяет роли брокера первоначального доступа и оператора вымогательского ПО, направленный на монетизацию доступа через массовую операцию, встроенную в форумы даркнета. Однако, несмотря на амбициозную структуру, имеются признаки операционных недостатков, при этом сообщения указывают на нехватку подтвержденных данных жертв, связанных с их сервисом вымогательского ПО.
Открытие исходного кода червя Shai-Hulud спровоцировало всплеск кампаний-подражателей, что указывает на потенциальную возможность более широкого круга субъектов участвовать в аналогичных атаках на Цепочку поставок. Примечательно, что уже выявляются такие варианты, как Miasma, способные использовать те же базовые технологии, одновременно расширяя свой контроль за счет латерального перемещения в различных облачных средах.
Для снижения рисков, связанных с такими атаками, эксперты по безопасности рекомендуют проводить аудит рабочих процессов GitHub Actions на наличие потенциальных уязвимостей, переносить процессы публикации пакетов на более безопасные методологии и применять более строгие меры контроля в средах разработки. Постоянная динамика в ландшафте угроз, характеризующаяся быстрой адаптацией к средствам защиты и растущей конкуренцией среди злоумышленников, подчеркивает стойкую проблему обеспечения защиты цепочек поставок программного обеспечения от сложных операций программ-вымогателей, таких как те, которые применяются TeamPCP.
| 2 |  #ParsedReport #GeneratedSchema
Generated with GPT-4 | 75 |
| 3 | #ParsedReport #CompletenessMedium
14-06-2026
Supply chain ransomware: TeamPCP weaponizes worms to fuel partnerships and $95K data sales
https://flare.io/learn/resources/blog/supply-chain-ransomware-teampcp-weaponizes-worms-to-fuel-partnerships-and-95k-da
Report completeness: Medium
Actors/Campaigns:
Teampcp (motivation: financially_motivated)
Lapsus (motivation: financially_motivated)
Vect (motivation: financially_motivated)
Mini_shai-hulud
Threats:
Supply_chain_technique
Shai-hulud
Pcpjack_tool
Hackerbot-claw_tool
Miasma
Trufflehog_tool
Victims:
Software development, Open source ecosystems, Developer toolchains, Cybersecurity tools, Government, Saas, Artificial intelligence developer tools, Medical software
Industry:
Petroleum, Healthcare
Geo:
Russian, Chinese
TTPs:
Tactics: 8
Technics: 7
IOCs:
Domain: 3
Soft:
Trivy, LiteLLM, Mastodon, LimeWire, Claude, Outlook, Docker, Kubernetes, Redis, OpenVSX, have more...
Functions:
CreateEvent, DeleteEvent
Languages:
powershell | 60 |
| 4 | #ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Rock — индивидуальный киберпреступник, продающий фишинговый и удалённый доступный набор инструментов под названием The Quarry по модели ВПО как услуга, преимущественно используя фишинговые приманки на тему налогов для имперсонации правительственных агентств США. Его набор инструментов включает развертывание легитимных инструментов удалённого мониторинга и управления, включая ScreenConnect, вместе с продвинутыми каплями на базе Visual Basic Script и настраиваемыми фишинговыми комплектами, использующими технологию маскировки. В основном нацелен на жертв в США в различных секторах, операции Rock включают аффилированных лиц, которые проводят фишинговые кампании, эксплуатируя скомпрометированные учетные данные для установки RMM-загрузчиков, что способствует краже данных и перемещению внутри компании в организациях.
-----
Rock управляет фишинговой кампанией и набором инструментов для удаленного доступа под названием The Quarry, работая по модели Malware-as-a-Service (MaaS) и Phishing-as-a-Service (PhaaS). Операция активна как минимум с апреля 2025 года, используя фишинговые приманки на тему налогов, имитирующие государственные агентства США. Основными инструментами для развертывания полезной нагрузки являются легитимные инструменты удаленного мониторинга и управления (RMM), в частности ScreenConnect. Более 90% зафиксированных жертв базируются в США, при этом атакуются платформы SSA, IRS, Adobe, Dropbox и DocuSign.
Rock, также известный как RockyBelling или Rockky, продвигает свои услуги в Телеграм и продает доступ к своему инструментарию аффилиатам для их собственных фишинговых кампаний, что позволяет вносить значительные изменения, усложняющие атрибуцию. Инструментарий включает компоненты для всего жизненного цикла атаки, используя самохостинговый RMM и продвинутые капкалы на Visual Basic Script (VBS) для улучшения доставки и уклонения от обнаружения.
Фишинговые наборы (kits) содержат модульные страницы-приманки с интегрированными механизмами маскировки для фильтрации нетаргетного трафика и используют технологию Adspect. Такие инструменты, как Rocky Gmail Sender и Rock VPS Mailer, предназначены для массовых операций по рассылке писем и оснащены функциями антиобнаружения и рандомизации тем.
Аффилиаты собирают адреса эл. почты и рассылают фишинговые письма, маскируя вредоносную активность ссылками на легальное аппаратное обеспечение и программное обеспечение. Жертв вводят в заблуждение, заставляя скачивать программное обеспечение для налоговых целей, что приводит к установке RMM-загрузчиков, собирающих конфиденциальные данные и облегчающих перемещение внутри компании в организациях.
Профили жертв в основном сосредоточены в США, где атакуются сотрудники секторов SaaS, здравоохранения и финансов. Операция Rock включает проактивную разведку для выявления раскрытых учетных данных и подчеркивает изменяющийся ландшафт угроз, что требует бдительных мер кибербезопасности. Появление новых доменов, связанных с операциями Rock, подчеркивает необходимость постоянного мониторинга. | 30 |
| 5 |  #ParsedReport #GeneratedSchema
Generated with GPT-4 | 33 |
| 6 |  #ParsedReport #ExtractedSchema
Classified images:
windows: 2, schema: 2, chart: 2 | 33 |
| 7 | #ParsedReport #CompletenessMedium
14-06-2026
Dark Web Profile: Rock
https://socradar.io/blog/dark-web-profile-rock/
Report completeness: Medium
Actors/Campaigns:
The_quarry
Rockybelling
Threats:
Screenconnect_tool
Adspect_tool
Tiflux_tool
Centrastage_tool
Fleetdeck_tool
Uac_bypass_technique
Cloaking_technique
Credential_harvesting_technique
Evilginx_tool
Violet_rat
Spear-phishing_technique
Victims:
United states, Saas and development, Healthcare and medtech, Media and entertainment, Fintech and finance, E commerce and retail, Education, Real estate, Travel
Industry:
Government, Entertainment, Financial, Retail, Education, Healthcare, E-commerce
Geo:
Egypt, Germany, Canada, Japan, Brazil
TTPs:
Tactics: 12
Technics: 17
IOCs:
File: 4
Soft:
Telegram, Dropbox, Gmail, Chrome
Algorithms:
rsa-4096, aes, base64
Languages:
php, javascript, powershell, visual_basic | 27 |
| 8 | #ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ВПО Pony, также известное как Fareit или Siplog, — это стиллер информации, активный с 2011 года, который в первую очередь нацелен на пользователей в Европе и Северной Америке. Предназначенный для извлечения учетных данных из различных источников, он позволяет устанавливать другое ВПО и использует уникальный метод работы, который позволяет злоумышленникам настраивать свои собственные серверы управления. Усовершенствованные методы противодействия обнаружению и распространение через спам по электронной почте или эксплойт-киты делают Pony значительной угрозой в киберпространстве, эффективно превращая зараженные системы в ботнеты для кражи информации.
-----
ВПО Pony, также известное как Fareit или Siplog, представляет собой стиллер и загрузчик, активное с 2011 года, в основном нацеленное на пользователей в Европе и Северной Америке. Его основная функция заключается в сборе данных с скомпрометированных систем и обеспечении установки другого вредоносного программного обеспечения. ВПО получило несколько обновлений, последняя версия — 2.2; однако основные функциональные возможности не изменились значительно с момента его обнаружения. Примечательно, что Pony способно извлекать учетные данные из различных источников, включая криптокошельки, FTP-клиенты и данные автозаполнения браузера.
В отличие от традиционных ботнетов, которые зависят от централизованных серверов управления (C&C), Pony работает иначе. Злоумышленники могут развернуть собственные серверы управления или использовать те, что ранее были настроены другими хакерами, тем самым получая немедленный доступ к инфраструктуре для отправки украденных данных. Pony состоит из двух ключевых компонентов: билдера, используемого для создания кастомных клиентских версий, и бота, который служит полезной нагрузкой, отвечающей за фактическое похищение информации.
Сам бот в основном написан на языке ассемблера и использует уникальный метод декодирования, при котором отсутствие встроенного алгоритма заставляет его применять базовые функции для отправки зашифрованных данных на сервер управления для расшифровки. Хотя функциональность оставалась относительно стабильной, новые версии внедрили улучшенные меры противодействия обнаружению, включая различные техники упаковки для обхода антивирусного обнаружения.
Распространение ВПО Pony осуществляется через несколько векторов, таких как кампании спам-рассылок, эксплойт-киты и DNS-подмена, часто маскируясь под легитимное программное обеспечение. Вредоносные электронные письма могут содержать архивы Microsoft Word или файлы JavaScript, которые при открытии приводят к выполнению ВПО. Кроме того, компрометируя DNS-сервер, злоумышленники могут перенаправлять цели на вредоносные сайты, с которых загружается Pony.
По воздействию Pony зарекомендовала себя как один из самых массовых похитителей информации, особенно эффективный при нацеливании на пользователей в Европе и Северной Америке. Её архитектура позволяет скрытно избегать обнаружения с помощью многоуровневых полезной нагрузки. Исследователи отмечают её способность расшифровывать или разблокировать пароли в более чем 110 различных приложениях, включая различные платформы обмена сообщениями, веб-браузеры и сервисы, такие как VPN и FTP-клиенты. После проникновения в систему Pony эффективно превращает её в ботнет для дальнейшей распространения. Таким образом, ВПО представляет значительную угрозу из-за своей широкой доступности и обширного функционала по эксфильтрации конфиденциальной информации. | 25 |
| 9 |  #ParsedReport #GeneratedSchema
Generated with GPT-4 | 28 |
| 10 | #ParsedReport #CompletenessMedium
14-06-2026
The Rise of Pony Malware and What it Means for Organizations
https://cyberint.com/blog/dark-web/the-rise-of-pony-malware-and-what-it-means-for-organizations/
Report completeness: Medium
Threats:
Siplog
Ponystealer
Spear-phishing_technique
Geo:
America
TTPs:
Tactics: 7
Technics: 14
IOCs:
Hash: 15
IP: 1
Soft:
Microsoft Word
Algorithms:
sha1, md5, sha256
Languages:
javascript | 29 |
| 11 | #ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Pink Data Extortion использует передовые техники фишинга и голосового фишинга, нацеленные на высокоценные организации, делая упор на эксфильтрацию данных, а не на шифрование. Их сложные фишинговые наборы для Okta и Microsoft Entra ID проводят обширные проверки окружения для уклонения от обнаружения, эффективно собирая учетные данные, включая обход многофакторной аутентификации (MFA) через социальную инженерию. Преимущественно активная в таких секторах, как здравоохранение и финансы в США, Pink адаптирует свои операции для максимального воздействия и скрытности благодаря надежной инфраструктуре и имитации брендинга.
-----
Группа Pink Data Extortion Group стала значимым игроком на ландшафте киберугроз, используя передовые тактики фишинга и голосового фишинга (vishing) для нацеливания на высокоценные организации. В отличие от традиционных операций с вымогательством, Pink применяет подход, основанный на учетных данных, сфокусированный на эксфильтрации данных, а не на шифровании. Группа, по-видимому, является ребрендингом существующих злоумышленников, связанных с сетью Com, делая акцент на скрытных операциях для максимизации воздействия.
Pink использует сложные фишинговые наборы, разработанные специально для сред Okta и Microsoft Entra ID. Эти наборы обладают многослойной методологией атаки, которая начинается с тщательной проверки окружения для уклонения от обнаружения исследователями безопасности. Они используют управляемые бэкендом фильтры, чтобы гарантировать, что только легитимные цели могут продолжить, в то время как автоматические сканеры немедленно блокируются. Это позволяет Pink бесшовно собирать учетные данные через адаптированный динамический пользовательский интерфейс, имитирующий реальные страницы аутентификации.
В частности, фишинговые наборы спроектированы для обхода многофакторной аутентификации (MFA) с помощью тактик социальной инженерии. Например, наборы направляют жертв на ввод кодов MFA или информации о passkey, которые они воспринимают как подлинные запросы. Первый набор, нацеленный на Microsoft Entra ID, включает функциональность, позволяющую злоумышленникам динамически манипулировать процессом передачи учетных данных, используя подключения в реальном времени для адаптации к действиям жертв. Аналогичные техники обнаружены в их наборе, специфичном для Okta, который обеспечивает бесшовный процесс сбора данных, одновременно применяя скрытые методы коммуникации для эксфильтрации.
Их операционный фокус указывает на сильную предпочтительность для таких отраслей, как здравоохранение, технологии и финансовые услуги, преимущественно в Соединенных Штатах, с целью реализации стратегии, называемой «Охота на крупных китов». Этот выбор целей соответствует потенциально высокой прибыльности организации, учитывая чувствительный характер данных, обрабатываемых этими секторами. Инфраструктура, лежащая в основе операций Pink, также демонстрирует высокую зависимость от надежных услуг хостинга и тактик регистрации доменов, включая регистрацию поддоменов, которые зеркально отражают брендинг их жертв. | 27 |
| 12 |  #ParsedReport #GeneratedSchema
Generated with GPT-4 | 35 |
| 13 |  #ParsedReport #ExtractedSchema
Classified images:
schema: 2, code: 8, windows: 1, table: 1 | 37 |
| 14 | #ParsedReport #CompletenessMedium
14-06-2026
New Data Extortion Group “Pink” Goes Big Game Hunting With Evasive Phishing Kits
https://socradar.io/blog/pink-data-extortion-group-phishing-kits/
Report completeness: Medium
Actors/Campaigns:
Pink (motivation: cyber_criminal, financially_motivated)
Cordial_spider (motivation: cyber_criminal, financially_motivated)
Luna_moth
Shinyhunters
0ktapus
Threats:
Qtox_tool
Credential_harvesting_technique
Aitm_technique
Spear-phishing_technique
Victims:
Healthcare, Technology, Financial services, Biotechnology, United states corporations, Europe, Asia
Industry:
Aerospace, Foodtech, Retail, Entertainment, Healthcare, Financial, Energy, Logistic, Transport
Geo:
America, United states, American, Japan, Ireland, Asia
TTPs:
Tactics: 8
Technics: 11
IOCs:
File: 8
Domain: 35
Soft:
Okta, Microsoft Entra, Discord, Telegram, virtualbox, Chrome, HubSpot
Functions:
WebAuthn, hostKey, hb, cr, poll, hide, show
Languages:
javascript, php | 58 |
| 15 | #ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Fox Kitten — иранская хакерская группировка, спонсируемая государством, активная с 2017 года, нацеленная на организации США, Израиля и Ближнего Востока в различных секторах, включая критическую инфраструктуру. Эта группировка эксплуатирует уязвимости в VPN-концентраторах и межсетевых экранах, используя для проникновения в системы недавно раскрытые CVE. Они применяют методы кражи учетных данных, встроенные инструменты Windows, собственное ВПО и продвинутые стратегии перемещения внутри компании для поддержания постоянного доступа и проведения шпионажа, действуя под псевдонимами Pioneer Kitten и UNC757.
-----
Fox Kitten — иранская хакерская группировка, спонсируемая государством, известная своими гибридными операциями, соответствующими целям иранской разведки. Активна как минимум с 2017 года, она нацелена на организации в различных секторах, включая критическую инфраструктуру, технологии, здравоохранение и государственные структуры, преимущественно в США, Израиле и на Ближнем Востоке. Группа действует под несколькими псевдонимами, включая Pioneer Kitten и UNC757, и использует ник в подпольном форуме Br0k3r, который к 2024 году эволюционировал в xplfinder. ФБР подтвердило, что Fox Kitten помогает в операциях вымогателей, предоставляя первоначальный доступ и учетные данные в обмен на часть доходов от выкупа.
Тактика Fox Kitten строится на эксплуатации уязвимостей в устройствах периметра, доступных из интернета, в частности в VPN-концентраторах и межсетевых экранах. Они быстро превращают в оружие недавно раскрытые CVE, такие как CVE-2024-3400 и CVE-2023-3519, для проникновения в системы. После получения доступа они применяют широкий спектр техник для выполнения задач, закрепления и перемещения внутри компании, используя нативные инструменты Windows наряду с собственным ВПО. Группа сильно полагается на кражу учетных данных, часто применяя такие инструменты, как prodump, и скриптовое взаимодействие для сбора учетных данных из различных источников, включая LSASS и Active Directory.
Для закрепления Fox Kitten использует такие методы, как веб-оболочки и запланированные задачи, маскирующиеся под легитимные системные процессы, дополненные инструментами, такими как HanifNet и NeoExpressRAT, для обеспечения долгосрочного доступа. Их инфраструктура управления использует техники туннелирования с инструментами, такими как ngrok и FRPC, чтобы скрыть сетевой трафик, а также облачные сервисы, такие как AWS, для скрытого размещения своих C2-окружений.
Операционный почерк Fox Kitten также включает методичные техники перемещения внутри компании, эксплуатирующие RDP, SMB-шары и VNC-соединения. Наблюдались случаи использования ими продвинутых методов разведки для тщательного исследования внутренних сетей, что способствует эксфильтрации данных из различных источников, включая архивы электронной почты и внутренние документы.
В рамках значимых операций, таких как многолетняя кампания, направленная на критическую инфраструктуру на Ближнем Востоке с мая 2023 года по февраль 2025 года, Fox Kitten установили постоянный доступ, эксплуатируя уязвимости, и сохранили сочетание разведывательных и оперативных возможностей. Кроме того, во время кампании с использованием программ-вымогателей против израильских организаций в 2020 году они использовали креативные каналы связи для переговоров о выкупе, отдав предпочтение таким платформам, как KeyBase и Twitter.
Для снижения рисков, связанных с Fox Kitten, организациям следует приоритизировать установку исправлений для незащищенных устройств, доступных через интернет, мониторинг несанкционированных инструментов туннелирования, защиту хранимых учетных данных и обеспечение многофакторной аутентификации (MFA) на всех точках доступа. Регулярные аудиты механизмов постоянного доступа и аномальных шаблонов перемещения внутри компании необходимы для защиты от этого сложного злоумышленника, который использует уязвимости систем и слабые средства защиты. | 82 |
| 16 |  #ParsedReport #GeneratedSchema
Generated with GPT-4 | 38 |
| 17 |  #ParsedReport #ExtractedSchema
Classified images:
windows: 3, table: 1, schema: 1 | 34 |
| 18 | #ParsedReport #CompletenessMedium
15-06-2026
Dark Web Profile: Fox Kitten
https://socradar.io/blog/dark-web-profile-fox-kitten/
Report completeness: Medium
Actors/Campaigns:
Fox_kitten (motivation: cyber_espionage)
Irgc
Threats:
Chinachopper
Chunkytuna
Hanifnet
Hxlibrary
Neoexpressrat
Shadow_copies_delete_technique
Credential_harvesting_technique
Procdump_tool
Angry_ip_scanner_tool
Putty_tool
Plink_tool
Tightvnc_tool
Frpc_tool
Ngrok_tool
Reversesocks5_tool
Sshminion_tool
Timestomp_technique
Chisel_tool
Meshcentral_tool
Noescape
Ransomhouse
Blackcat
Pay2key
Psexec_tool
Credential_dumping_technique
Victims:
Oil and gas, Technology, Government, Defense, Healthcare, Manufacturing, Engineering, Finance, Education, Telecommunications, have more...
Industry:
Government, Critical_infrastructure, Telco, Petroleum, Education, Healthcare, Financial
Geo:
America, Israeli, Middle east, China, Africa, Australia, Iranian, Israel, United states, Azerbaijan, Arab emirates, United arab emirates
CVEs:
CVE-2024-24919 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint quantum_spark_firmware (r80.40)
CVE-2019-11510 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (8.2, 8.3, 9.0)
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13)
- citrix netscaler_gateway (<13.0-91.13, <13.1-49.13)
CVE-2019-19781 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix application_delivery_controller_firmware (10.5, 11.1, 12.0, 12.1, 13.0)
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)
CVE-2022-1388 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_advanced_firewall_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_analytics (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_application_acceleration_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_application_security_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
have more...
CVE-2020-5902 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (<11.6.5.2, <12.1.5.2, <13.1.3.4, <14.1.2.6, le15.0.1.4)
- f5 big-ip_advanced_firewall_manager (<11.6.5.2, <12.1.5.2, <13.1.3.4, <14.1.2.6, <15.0.1.4)
- f5 big-ip_advanced_web_application_firewall (<11.6.5.2, <12.1.5.2, <13.1.3.4, <14.1.2.6, <15.0.1.4)
- f5 big-ip_analytics (<11.6.5.2, <12.1.5.2, <13.1.3.4, <14.1.2.6, <15.0.1.4)
- f5 big-ip_application_acceleration_manager (<11.6.5.2, <12.1.5.2, <13.1.3.4, <14.1.2.6, <15.0.1.4)
have more...
TTPs:
Tactics: 10
Technics: 47
IOCs:
File: 6
Soft:
BIG-IP, PAN-OS, PsExec, prodump, Active Directory, KeePass, WizTree, Chrome, TightVNC, Twitter, have more...
Algorithms:
base64
Languages:
perl, powershell, php | 26 |
| 19 | #ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Набор инструментов Miasma с открытым исходным кодом нацелен на цепочки поставок программного обеспечения, эксплуатируя скомпрометированные учетные записи разработчиков в таких экосистемах, как npm и GitHub, используя украденные токены GitHub для выполнения атак без традиционной инфраструктуры C2. Его архитектура включает сбор учетных записей, распространение и эксфильтрацию информации, используя передовые методы, такие как переключатели мертвого человека и методы инъекции, для поддержания скрытности. Набор инструментов интегрируется с инструментами программирования на основе ИИ, облегчая эксплуатацию уязвимостей, одновременно применяя полиморфные полез
-----
Miasma — это набор инструментов для атак на цепочку поставок с открытым исходным кодом, который использует скомпрометированные учетные записи разработчиков и программные экосистемы.
Он управляет публичными реестрами программного обеспечения, такими как PyPI, npm и RubyGems, а также взаимодействует с репозиториями и действиями GitHub.
Набор инструментов использует украденные персональные токены доступа GitHub (PAT) для обхода мер безопасности без традиционной инфраструктуры управления (C2).
Miasma включает операционные слои для сбора учетных записей, распространения и эксфильтрации конфиденциальной информации.
Он использует GitHub для поддержания оперативной скрытности и обхода сетевой детекции.
Расширенные техники включают переключатели «мертвой руки», которые очищают домашний каталог жертвы при отзыве токена, а также генерацию действительных пакетов происхождения Sigstore для троянизированных пакетов npm.
Архитектура имеет манипуляторы для внедрения в среды разработки и поддерживает как быстрые, так и медленные маршруты распространения.
Быстрый путь обеспечивает быструю эксфильтрацию учетных данных, тогда как медленный путь использует незаметные методы, такие как внедрение в существующие файлы проекта или использование сиротских коммитов.
Miasma включает режим типографской мутации для отправки вредоносных пакетов.
Она интегрируется с инструментами программирования на базе ИИ и может перехватывать GitHub Actions, обходя правила защиты репозиториев.
Сбор учетных данных создает категоризированное хранилище токенов, активируя эксфильтрацию при достижении порога.
Элемент-оркестратор отслеживает учетные данные на предмет возможностей эксфильтрации, усиливая самораспространение.
Полиморфные полезная нагрузка обладают уникальной обфускацией для каждой сборки, чтобы избежать обнаружения.
Дизайн набора инструментов ориентирован на автоматизацию, закрепление и стратегическое уклонение, что указывает на сдвиг в сторону использования таких платформ, как GitHub, для атак.
Эта эволюция сигнализирует о возросшей сложности угроз в Цепочка поставок программного обеспечения и подчеркивает необходимость мер безопасности, направленных на устранение уязвимостей приложений и учетных данных. | 20 |
| 20 |  #ParsedReport #GeneratedSchema
Generated with GPT-4 | 27 |
