中国系APT「FamousSparrow」がアゼルバイジャンの石油・ガス企業を数カ月にわたり執拗に攻撃していたことが判明した。未修正Exchange脆弱性を繰り返し悪用し、検知回避型RATで欧州エネルギー供給網への諜報活動を続けていた。 Bitdefender Labsによると、攻撃は2025年末から2026年2月まで複数波に分けて実施された。侵入経路はProxyNotShellを利用したMicrosoft Exchange侵害で、Webシェル設置後に「Deed RAT」を展開していた。特徴的なのはDLLサイドローディングの高度な回避手法で、正規LogMeIn Hamachi実行ファイルを利用し、Windows API「StartServiceCtrlDispatcherW」をメモリ改変して後段でマルウェアを起動させる構造だった。 この仕組みにより、DLL単体を解析するサンドボックスでは悪性挙動が発生せず、完全な実行シーケンス時のみRATが起動する。攻撃者は防御側に排除されても同じExchange脆弱性から再侵入し、後続ではTerndoor系バックドアや改良版Deed RATを投入した。最終版は「sentinelonepro[.]com」をC2に使用し、正規セキュリティ製品を装って通信を隠蔽していた。 Bitdefenderは、VirtualProtect呼び出し監視や不審サービス作成検知、脆弱性修正と認証情報ローテーションを徹底しなければ、APTは同じ侵入口を何度でも再利用すると警告している。 securityonline.info/famoussp…

Chinese 🇨🇳 APT group FamousSparrow conducted multi-wave espionage campaign against Azerbaijani 🇦🇿 oil and gas company from December 2025-February 2026. Operation expands Chinese cyber activity into South Caucasus energy sector using evolved DLL sideloading and Deed RAT malware. Key technical details: • Two-stage DLL sideloading overrides specific exported functions, gating execution through legitimate application workflow to evade sandbox analysis • Deed RAT updates include new magic values, shift from Snappy to Deflate compression, C2 via sentinelonepro[.]com over HTTPS/443 • Lateral movement via RDP and domain admin account, Impacket tools (atexec, smbexec) for SMB-based execution (T1021.002, T1047) • Persistent re-entry through same Exchange server vulnerability despite remediation attempts Attack methodology: • Initial access via vulnerable Microsoft Exchange server (ProxyShell/ProxyNotShell exploits) • Deployed both Deed RAT and Terndoor backdoors across three separate waves • Manual PowerShell deployment, malware relocated to C:\Recovery directory for persistence DFIR artifacts: • Monitor for API hooking at kernel level from unsigned components • Hunt for suspicious RDP sessions using domain admin credentials outside maintenance windows • Behavioral detection crucial as signature-based fails against fileless execution chains Immediately patch Exchange servers and implement runtime behavioral monitoring for DLL sideloading detection. #DFIR_Radar

📢⚠️ China's #FamousSparrow APT targeted an oil and gas firm in Azerbaijan using the ProxyNotShell exploit chain alongside Deed RAT and Terndoor malware across 3 persistent attack waves. Read: hackread.com/famoussparrow-o… #CyberSecurity #China #MSExchange #Malware #CyberAttack

FamousSparrow's three-wave campaign against Azerbaijani 🇦🇿 energy infrastructure exploited the same unpatched Exchange server from Dec 2025-Feb 2026. Chinese 🇨🇳 APT expanded targeting into strategically critical South Caucasus energy sector. Campaign details: • ProxyNotShell exploit (CVE-2022-41040/41082) used consistently across all waves despite 2022 disclosure • Wave 1: Deed RAT via evolved DLL sideloading (LMIGuardianSvc.exe→malicious winmm.dll) with two-stage execution gating • Wave 2: Failed Terndoor deployment blocked by security controls, left registry artifacts in C:\ProgramData\USOShared • Wave 3: Modified Deed RAT config with new C2 sentinelonepro[.]com:443, files relocated to C:\Recovery Key IOCs and TTPs: • Web shells: key.aspx, log.aspx, errorFE_.aspx in public directories (T1505.003) • C2 domains: virusblocker[.]it[.]com:443, sentinelonepro[.]com:443 • Lateral movement via RDP with domain admin creds, Impacket-style SMB execution • Custom PE header magic 0xFF66ABCD (updated from previous 0xDEED4554) Hunt for LogMeIn Hamachi binaries with suspicious network connections and non-standard file locations. Prioritize patching internet-facing Exchange servers - this 2022 vulnerability remained exploitable through Feb 2026. #DFIR_Radar

中国系APT「FamousSparrow」がアゼルバイジャンの石油・ガス企業へ3度侵入していた。未修正Exchange脆弱性が繰り返し悪用された。 Bitdefenderによれば、攻撃は2025年12月から2026年2月にかけて継続して行われた。攻撃者は2022年公開のExchange脆弱性「ProxyNotShell」を悪用し、key.aspxやlog.aspxなどのWebシェルを設置。同じExchangeサーバーを入口として3回再侵入していた。 初回侵入では、中国系スパイ活動で使われるDeed RATを展開した。LogMeIn Hamachi正規バイナリを悪用したDLLサイドローディングが使われ、AES、RC4、LZNT1圧縮を組み合わせた多層構造で検知回避を図っていた。さらにRDPとSMBを利用して横展開し、複数サーバーへ侵害を拡大した。 2回目には通信業界攻撃でも確認されているTerndoorバックドア展開を試行。winmm.dll悪用や不正ドライバvmflt.sys設置も確認されたが、セキュリティ製品によって阻止されたという。3回目ではDeed RAT設定を変更し、C2ドメインをsentinelonepro[.]comへ偽装するなど痕跡隠蔽も進めていた。 Bitdefenderは、この活動をEarth EstriesやSalt Typhoonと重なる中国系APT活動の一部と分析している。欧州向けエネルギー供給国として重要性を増すアゼルバイジャンを狙った点も注目されている。 securityaffairs.com/192113/a…

中国系とみられる攻撃者がエネルギー企業に対し複数回の侵入を繰り返す持続的攻撃が確認された。同一の脆弱性経路を再利用しながらマルウェアを切り替える手法で、長期的な潜伏と拡張を狙う高度な活動が浮き彫りとなっている。 この攻撃はFamousSparrowに関連付けられ、2025年12月から2026年2月にかけて3段階で実施された。初期侵入にはMicrosoft ExchangeのProxyNotShellが悪用され、Deed RATやTernDoorといったバックドアが順次展開された。 特徴的なのは、修復後も同じ侵入口を再利用し続けた点である。攻撃者はDLLサイドロード技術を高度化し、正規ツールを利用して不正DLLを実行することで検知回避を図った。さらに横展開を行い、複数の侵入経路を確保して持続性を強化している。 この事例は単発攻撃ではなく、継続的にアクセス回復と拡張を繰り返す組織的なサイバー諜報活動であることを示している。 thehackernews.com/2026/05/az…

Exploiting Exchange PowerShell After ProxyNotShell: Part 4 – No Argument Constructor : zerodayinitiative.com/blog/2… Part 3 – DLL Loading Chain for RCE : zerodayinitiative.com/blog/2… Part 2 - ApprovedApplicationCollection : zerodayinitiative.com/blog/2… Part 1 : MultiValuedProperty : zerodayinitiative.com/blog/2… credits @thezdi

The final part of @chudyPB's look at #Exchange bugs in a post-ProxyNotShell world covers the no aurgument constructor. It allowed him to find 3 more vulns, even after Exchange PowerShell had been hardened by switching to a strict allow list of types. zerodayinitiative.com/blog/2…

Exploiting Exploiting Exchange PowerShell After ProxyNotShell: Part 3 – DLL Loading Chain for RCE packetstormsecurity.com/news…

In part 3 of his series on exploiting #Exchange #Powershell after ProxyNotShell, ZDI researcher @chudyPB chains 3 bugs that lead to RCE, mainly by abusing the single-argument constructor conversions. Read the details at zerodayinitiative.com/blog/2…

Exploiting Exchange PowerShell After ProxyNotShell: Part 1 : MultiValuedProperty : zerodayinitiative.com/blog/2… Part 2 : ApprovedApplicationCollection : zerodayinitiative.com/blog/2… credits @chudyPB

#exploit 1. CVE-2024-8503, CVE-2024-8504: VICIdial unauth SQLi to RCE github.com/Chocapikk/CVE-202… 2. Exploiting Exchange PowerShell After ProxyNotShell Part 1: zerodayinitiative.com/blog/2… Part 2: zerodayinitiative.com/blog/2…

In the 1st of a 4 part series, @chudyPB details his research into exploiting #Microsoft #Exchange after ProxyNotShell was patched. Today's post covers CVE-2023-21529: abuse of the allowed MultiValuedProperty class for RCE. Check it out at zerodayinitiative.com/blog/2…

Hat jemand Erfahrungen mit ProxyNotShell Scannern für die betreffende Exchange-Schwachstelle? Da scheint es "false positives zu geben". borncity.com/blog/2024/02/23…

As soon as there is a login page exposed to the internet this happens. Special if they are discoverable by dorks. We are dealing with these bots regularly. The same goes with vulnerabilities like log4j, proxynotshell.

🚨 CISA StopRansomware Advisory: Play Ransomware 🚨 Summary: The Play ransomware group encrypts systems and steals data, then demands ransom payments. The joint advisory released by US-CERT/CISA details their tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) to help organizations defend against Play ransomware attacks. Threat Actor: Play ransomware group Malware: Play ransomware, SystemBC malware Tools used: AdFind, Bloodhound, GMER, IOBit, PsExec, PowerTool, PowerShell, Cobalt Strike, Mimikatz, WinPEAS, WinRAR, WinSCP, Microsoft Nltest, Nekto / PriviCMD, Process Hacker, Plink Target Applications and CVEs: FortiOS (CVE-2018-13379, CVE-2020-12812), Microsoft Exchange (ProxyNotShell [CVE-2022-41040, CVE-2022-41082]) Impact: Data encryption, device compromise, financial loss IOCs_SHA-256: 453257c3494addafb39cb6815862403e827947a1e7737eb8168cd10522465deb 47c7cee3d76106279c4c28ad1de3c833c1ba0a2ec56b0150586c7e8480ccae57 75404543de25513b376f097ceb383e8efb9c9b95da8945fd4aa37c7b2f226212 7a42f96599df8090cf89d6e3ce4316d24c6c00e499c8557a2e09d61c00c11986 7a6df63d883bbccb315986c2cfb76570335abf84fafbefce047d126b32234af8 7dea671be77a2ca5772b86cf8831b02bff0567bce6a3ae023825aa40354f8aca c59f3c8d61d940b56436c14bc148c1fe98862921b8f7bad97fbc96b31d71193c e652051fe47d784f6f85dc00adca1c15a8c7a40f1e5772e6a95281d8bf3d5c74 e8d5ad0bf292c42a9185bb1251c7e763d16614c180071b01da742972999b95da MITRE_TTPs: T1078, T1190, T1133, TA0007, T1016, T1518.001, T1562.001, T1070.001, T1570, T1484.001, T1560.001, T1048, T1486, T1657 Action: Threat Management/SOC professionals shall use the listed IOCs, TTPs to detect the subjected campaign activities and also to perform proactive Threat Hunting. Reference: This writing is published based on joint research advisory released by US-CERT/CISA research team. --------------------------------------------------------------------------------------- 🚀Join us on our mission to secure the digital world and make cyber defense affordable to everyone! 🌐 Follow "CyberXTron Technologies" for the timely, relevant and actionable cyber threat insights. #Play #Ransomware #CISA #StopRansomware #CyberAttacks 🛡️🔒

Selon les données de @onyphe, il y a là du #proxynotshell 🤷‍♂️

Selon @onyphe, il y avait là, encore hier, un serveur #Exchange dans une version affectée par #ProxyNotShell. C'est surprenant, au demeurant, car le patch pour la CVE-2023-3519 semble avoir été appliqué sous une semaine.

#Microsoft #Exchange Servers are a crucial part of a companies environment. #Infosec has been talking about it a lot, especially since #ProxyShell and #ProxyNotShell. Still, as of right now, there are 77154 instances of #Exchange with #critical vulnerabilities out there.

🇨🇳 Hackerii chinezi au atacat organizații din 17 națiuni într-o campanie cibernetică de 3 ani 🇬🇧 Incident la Comisia Electorală Britanică, facilitat de o vulnerabilitate ProxyNotShell 🕵️‍♀️ Analiză a activității grupului Lapsus$ /3 #DNSC #cyber #news