#ParsedReport #CompletenessMedium
17-04-2025

UNC5221s Latest Exploit: Weaponizing CVE-2025-22457 in Ivanti Connect Secure

https://www.picussecurity.com/resource/blog/unc5221-cve-2025-22457-ivanti-connect-secure

Report completeness: Medium

Actors/Campaigns:
Unc5221 (motivation: cyber_espionage, information_theft)
Dragonfish

Threats:
Process_injection_technique
Trailblaze
Code_cave_technique
Brushfire
Spawnsloth
Dryhook
Warpwire
Credential_harvesting_technique
Nmap_tool
Spawnsnare_tool
Pysoxy_tool

Industry:
Government, Ics

Geo:
Chinese, China

CVEs:
CVE-2025-22457 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (<22.7)
- ivanti neurons for zero-trust access (-, 22.2, 22.3, 22.4, 22.5)
- ivanti policy secure (<22.7)


TTPs:
Tactics: 7
Technics: 18

Soft:
Ivanti, Active Directory, Linux

Algorithms:
base64, aes, rc4

Languages:
python, perl, javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Связанная с Китаем группа кибершпионажа UNC5221 использует CVE-2025-22457 в защищенных VPN-сетях Ivanti Connect для удаленного выполнения кода и внедряет вредоносное ПО TRAILBLAZE для внедрения бэкдора BRUSHFIRE. Они сосредоточены на сборе учетных данных с помощью DRYHOOK и используют встроенные инструменты сканирования, облегчающие боковое перемещение и эксфильтрацию данных, в то же время избегая обнаружения за счет манипулирования журналами. Организациям следует модернизировать устройства ICS для предотвращения подобных атак.
-----

Группа кибершпионажа UNC5221, связанная с Китаем, активно использует уязвимости в устройствах Ivanti Connect Secure (ICS) VPN с марта 2025 года, в частности, используя CVE-2025-22457. Это критическое переполнение буфера на основе стека позволяет выполнять несанкционированное удаленное выполнение кода в непатченных версиях ICS (22.7R2.5 и более ранних) и в устаревших версиях Pulse Connect Secure, подверженных уязвимостям. Изначально Ivanti недооценил серьезность уязвимости, посчитав, что ее невозможно использовать, и 11 февраля 2025 года выпустил патч, который в UNC5221, вероятно, был переработан для создания сложного пользовательского эксплойта.

Как только цель скомпрометирована, UNC5221 использует ряд встроенных в память программ для развертывания вредоносных программ, в частности, программу-дроппер TRAILBLAZE, которая незаметно внедряет бэкдор, известный как BRUSHFIRE, в процесс веб-службы ICS. Такой тактический подход позволяет злоумышленникам сохранять присутствие с удаленным доступом, не оставляя значительных артефактов в системе, что затрудняет усилия по обнаружению. Они используют различные методы для очистки журналов и подавления мер безопасности, включая развертывание инструмента под названием SPAWNSLOTH для управления службами ведения журнала на устройстве.

Сбор учетных данных является основной задачей UNC5221, которая использует несколько методов для сбора конфиденциальной информации. Вредоносная программа DRYHOOK, предназначенная для кражи учетных данных, перехватывает имена пользователей и пароли VPN, изменяя процесс аутентификации. Они также внедрили анализаторы на основе JavaScript и извлекли из устройства кэшированные базы данных учетных данных, чтобы еще больше расширить свои возможности доступа. Это обеспечивает горизонтальное перемещение по сети, позволяя UNC5221 запрашивать Active Directory организаций с помощью украденных учетных данных учетной записи службы LDAP, что позволяет получить более глубокое представление о целевых средах.

На этапе рекогносцировки UNC5221 использует взломанное устройство VPN для проведения сканирования внутренней сети, используя такие инструменты, как nmap, для сканирования портов и служб, и подключается к службам каталогов для детального отображения учетных записей пользователей и системы. Это подготавливает их к последующему этапу фильтрации данных, на котором они собирают конфиденциальные журналы, данные сеанса и конфигурации с устройства VPN и внутренних систем. Утечка данных осуществляется с помощью малозаметных методов, включая маскировку украденных файлов под законный веб-контент, чтобы они не выделялись из обычного трафика, использование зашифрованных туннелей и использование трафика из самой скомпрометированной инфраструктуры.

Для устранения угроз, связанных с UNC5221, организациям рекомендуется обновить все устройства ICS до версии 22.7 R2.6 или более поздней и вывести из эксплуатации неподдерживаемые устройства Pulse Connect Secure. Внедрение надежного мониторинга необычного поведения, усиление механизмов аутентификации и обеспечение ограниченных прав доступа для учетных записей служб также являются важными стратегиями защиты от уклонения от обнаружения и перемещения в сторону, чему способствуют скомпрометированные устройства. В целом, UNC5221 является примером передовой тактики, присущей субъектам национального государства, что делает их серьезной угрозой как для правительственных, так и для частных организаций.

#ParsedReport #CompletenessMedium
17-04-2025

Threat Spotlight: Hijacked and Hidden: New Backdoor and Persistence Technique - ReliaQuest

https://reliaquest.com/blog/threat-spotlight-hijacked-and-hidden-new-backdoor-and-persistence-technique/

Report completeness: Medium

Actors/Campaigns:
Storm_1811
Stac5777
Blackbasta

Threats:
Blackbasta
Com_hijacking_technique
Microsoft_quick_assist_tool
Junk_code_technique
Boxter

Industry:
Financial

Geo:
Russian, Latvia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1059.001, T1071.001, T1059.007, T1036

IOCs:
File: 20
IP: 12
Email: 1
Registry: 1
Url: 6

Soft:
Microsoft Teams, Windows Defender Application Control, Component Object Model, Windows Registry, Internet Explorer, Windows Installer, Telegram

Win API:
ShowWindow, ReleaseMutex

Win Services:
WebClient

Languages:
powershell, jscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый бэкдор PowerShell, связанный с группой Storm-1811, использует фишинговую кампанию с помощью Microsoft Teams, используя для обеспечения сохраняемости перехват COM-кода TypeLib. Вредоносная программа маскирует свое выполнение с помощью JScript и PowerShell, что усложняет обнаружение. Чтобы противостоять таким угрозам, организации должны ограничить внешние коммуникации, внедрить белый список и улучшить параметры безопасности.
-----

Недавние расследования кибератаки выявили появление нового бэкдора PowerShell, связанного с фишинговой кампанией в Microsoft Teams. Цепочка атак, восходящая к хакерской группе Storm-1811, известной внедрением программы-вымогателя Black Basta, включала в себя сложные методы сохранения и новые вредоносные программы, что указывает на эволюцию или возможный раскол внутри группы. Кампания была нацелена в первую очередь на высокопоставленных сотрудников в таких секторах, как финансы и научные услуги, и использовала методы социальной инженерии, которые обходили традиционную защиту электронной почты.

Атака была инициирована с помощью фишинговых сообщений, замаскированных под запросы в ИТ-службу поддержки, отправленные через Microsoft Teams. Получение доступа через эту надежную платформу позволило злоумышленникам использовать законные инструменты Windows, такие как "Quick Assist", для удаленных сеансов. Критически важным для их стратегии был ранее не сообщавшийся метод персистентности, связанный с перехватом COM-кода TypeLib, который изменяет параметры системного реестра для выполнения сценариев с удаленного URL-адреса при доступе к определенным COM-объектам. Этот механизм позволял непрерывно загружать и запускать вредоносные программы, размещенные на таких платформах, как Google Drive.

Недавно обнаруженная вредоносная программа использует комбинацию JScript и PowerShell, которые выполняются скрытым образом. Код JScript отвечает за написание и выполнение команд PowerShell без привлечения внимания пользователей. Затем бэкдор PowerShell устанавливает канал управления (C2), который включает серийный номер жесткого диска скомпрометированного устройства, что еще больше усложняет усилия по обнаружению из-за его запутанного характера и минимального влияния вредоносных программ на таких платформах, как VirusTotal.

Чтобы усилить защиту от подобных атак, организациям рекомендуется ограничить внешние коммуникации в Microsoft Teams и внедрить строгие политики внесения в белые списки. Дополнительные меры безопасности включают блокировку определенных доменов на границе сети, отключение JScript и Windows Script Host с помощью групповой политики и AppLocker, а также строгие настройки контроля приложений защитника Windows, чтобы свести к минимуму возможности, которые могут использовать вредоносные программы. Эти шаги направлены на защиту систем от новых методов, используемых в условиях меняющегося ландшафта угроз, особенно в связи с растущим доверием к инструментам совместной работы, таким как Microsoft Teams.

#ParsedReport #CompletenessLow
17-04-2025

Russian organizations attack Backdor, mimicating under VIPNET updates

https://securelist.ru/new-backdoor-mimics-security-software-update/112326/

Report completeness: Low

Threats:
Trojan.win32.loader.gen

Victims:
Large organizations

Geo:
Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1059.001, T1105

IOCs:
File: 4
Hash: 3

Soft:
VIPNET

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложный бэкдор нацелен на крупные российские организации через скрытые в них сети Vipnet.LZH архивируется в виде обновлений программного обеспечения. Он использует вредоносный исполняемый файл для загрузки зашифрованной полезной нагрузки, облегчая связь с сервером управления для кражи файлов и развертывания дополнительных вредоносных программ.
-----

В апреле 2025 года расследование кибератаки привело к обнаружению сложного бэкдора, нацеленного на крупные организации в России, особенно в государственном, финансовом и промышленном секторах. Этот бэкдор в первую очередь заражает компьютеры, работающие в сетях Vipnet, которые используются для установления защищенных коммуникаций.

Бэкдор был обнаружен скрытым в архивах с использованием расширения .Файл LZH, имитирующий обновления программного обеспечения для платформы Vipnet. Содержимое этих архивов включало информационный файл (Action.inf), легальный исполняемый файл (lumpdiag.exe) и вредоносный исполняемый файл (msinfo32.exe), а также зашифрованную полезную информацию с переменными именами файлов. В файле Action.inf указано, что при обработке службой обновления Vipnet (ITCSRVUP64.EXE) легитимный исполняемый файл вызывается с помощью команды, которая позволяет запустить вредоносный компонент.

Вредоносный код msinfo32.exe функционирует как загрузчик, извлекая встроенную зашифрованную информацию для загрузки бэкдора в память. Примечательно, что этот бэкдор обладает способностью устанавливать TCP-соединение с сервером управления, что позволяет злоумышленникам красть файлы и развертывать дополнительные вредоносные компоненты. Решения по кибербезопасности, в частности от "Лаборатории Касперского", определили этот бэкдор как Heur: Trojan.win32.loader.gen из-за его поведения и характеристик.

Расследование подчеркивает растущую сложность кибератак, особенно тех, которые организуются APT-группами. Эти злоумышленники используют нетрадиционные методы для проникновения в свои объекты, что требует надежной, многоуровневой стратегии безопасности для защиты от таких сложных угроз. Развертывание многоуровневой архитектуры защиты имеет важное значение для эффективной защиты организаций от подобных атак.

#ParsedReport #CompletenessMedium
17-04-2025

Proton66 Part 2: Compromised WordPress Pages and Malware Campaigns

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/proton66-part-2-compromised-wordpress-pages-and-malware-campaigns/

Report completeness: Medium

Actors/Campaigns:
Mora_001

Threats:
Superblack
Xworm_rat
Strela_stealer
Weaxor
Remcos_rat
Targetcompany

Victims:
Wordpress websites, Android device users, Korean-speaking chat room users, Mozilla thunderbird users, Microsoft outlook users

Industry:
Financial

Geo:
Rus, Germany, French, German, Liechtenstein, Switzerland, Spanish, Luxembourg, Korean, Austria, Korea

ChatGPT TTPs:
do not use without manual check
T1566.002, T1574.002, T1027, T1105, T1547.001, T1041, T1486

IOCs:
IP: 6
File: 4
Url: 2
Hash: 12

Soft:
WordPress, Android, Google Play, Mozilla Thunderbird, Microsoft Outlook

Algorithms:
sha256, base64, zip

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование в отношении Proton66 выявило его связи с группой программ-вымогателей SuperBlack, которые использовали взломанные сайты WordPress для перенаправления пользователей Android на фишинговые домены. К числу известных вредоносных программ относятся кампания XWorm, нацеленная на корейских пользователей чата с помощью социальной инженерии, и программа Strela Stealer, которая удаляет учетные данные электронной почты. Кроме того, программа-вымогатель WeaXor, разновидность Mallox, шифрует файлы, требуя выкуп в криптовалюте, что подчеркивает растущую сложность и угрозу, исходящую от этого субъекта.
-----

Расследование вредоносных действий, связанных с Proton66, выявило важные подробности о различных вредоносных кампаниях и методах эксплуатации, используемых хакерами, в частности, связанных с группой вымогателей SuperBlack и связанными с ней организациями, такими как Mora_001. Важным аспектом этого расследования стало то, что взломанные сайты WordPress были нацелены на пользователей Android. В частности, в феврале 2025 года на взломанных страницах были обнаружены скрипты, которые перенаправляли пользователей устройств Android на фишинговые домены, похожие на Google Play Store. хакеры использовали различные соглашения об именовании, чтобы казаться локализованными, создавая домены, такие как us-playmarket.com и playstors-france.com, ориентированные на пользователей, говорящих на разных языках. Скрипты-перенаправители использовали методы обфускации и выполняли проверки, чтобы отфильтровать нецелевых пользователей, что свидетельствует о сложном подходе к уклонению от обнаружения, при котором скрипты, казалось бы, не были обнаружены на VirusTotal.

Кроме того, анализ показал, что в сети Proton66 был общедоступный ZIP-архив, содержащий ресурсы неустановленного хакера, связанные с кампанией, получившей название XWorm. Эта кампания в основном была нацелена на корейскоязычных пользователей чата, используя тактику социальной инженерии для заражения жертв. Цепочка заражения началась с создания файла быстрого доступа, выполняющего команду PowerShell, которая затем запустила сценарий для загрузки библиотеки .NET DLL в кодировке Base64, что привело к загрузке двоичного файла XWorm. Информация, доступная в архиве, указывала на потенциальное использование взломанного законного программного обеспечения для облегчения атаки.

Кроме того, было обнаружено, что вредоносная программа Strela Stealer использовала сервисы хостинга Proton66 в период с января по февраль 2025 года, нацеливаясь на почтовые клиенты, такие как Mozilla Thunderbird и Microsoft Outlook. Strela Stealer извлекает учетные данные электронной почты и участвует в целенаправленных фишинговых кампаниях, которые ведут к определенному серверу управления.

Наконец, было замечено, что программа-вымогатель WeaXor, модифицированная версия Mallox, работает в сети Proton66, шифруя файлы с помощью суффикса ".wex". В записке с требованием выкупа содержался уникальный идентификатор жертвы и требовались 2000 долларов в криптовалюте за расшифровку.

Использование хакерами целого ряда скомпрометированных платформ и сложных методов перенаправления указывает на растущий уровень угроз, что требует принятия строгих защитных мер против диапазонов CIDR, связанных с Proton66, для снижения потенциальных рисков.

#ParsedReport #CompletenessLow
17-04-2025

APT PROFILE EARTH ESTRIES

https://www.cyfirma.com/research/apt-profile-earth-estries-2/

Report completeness: Low

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique
Cobalt_strike
Hemigate
Ghostspide
Zingdoor
Masol
Snappybe
Demodex_tool
Ghostspider
Deed_rat
Proxylogon_exploit
Lolbin_technique
Psexec_tool
Crowdoor
Portscan_tool
Trillclient

Industry:
Chemical, Military, Ngo, Telco, Aerospace, Government, Transport, Critical_infrastructure, Iot

Geo:
Germany, Thailand, Taiwan, Chinese, Asia, Canada, Singapore, South africa, Indonesia, Afghanistan, Philippines, Malaysia, Pakistan, Apac, Vietnam, India, Middle east, Brazil, America

CVEs:
CVE-2024-20399 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco nx-os (6.2\(2\), 6.2\(2a\), 6.2\(6\), 6.2\(6a\), 6.2\(6b\))

CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient enterprise management server (<7.0.11, <7.2.3)

CVE-2023-20198 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios xe (<16.12.10a, <17.3.8a, <17.6.6a, <17.9.4a)

CVE-2022-3236 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos firewall (le19.0.1)

CVE-2023-20273 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios xe (16.1.1, 16.1.2, 16.1.3, 16.2.1, 16.2.2)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)


ChatGPT TTPs:
do not use without manual check
T1190, T1059.001, T1574.002, T1070.004, T1071.001, T1071.004, T1566.001, T1041

Soft:
Microsoft Exchange, Ivanti, PSEXEC, curl

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская APT-группа Earth Estries нацелена на критически важную инфраструктуру с помощью таких кампаний, как "Бета-версия кампании" и "Альфа-версия кампании", используя вредоносные программы, такие как DEMODEX и GHOSTSPIDER. Они используют уязвимости (например, Microsoft Exchange, CVE-2023-46805) для получения начального доступа и используют такие методы, как LOLBINS, для выполнения, обеспечивая устойчивость к пользовательским бэкдорам и руткитам. Их операции включают в себя сложные боковые перемещения с использованием PsExec и WMIC, а также зашифрованные каналы C&C для передачи данных с помощью таких инструментов, как TrillClient.
-----

Китайская APT-группа Earth Estries известна своими передовыми разработками в области кибершпионажа, направленными на критически важные объекты инфраструктуры и государственные учреждения по всему миру. Их недавние кампании продемонстрировали сложный подход к работе с различными секторами, в частности, благодаря постоянной инициативе, ориентированной на телекоммуникации, которая получила название "Бета-версия кампании". Эта кампания оказала влияние на телекоммуникационных провайдеров по всей Азии, включая такие страны, как Тайвань, Таиланд и Индия, а также в Соединенных Штатах. В число основных вредоносных программ, используемых в этих кампаниях, входят DEMODEX, GHOSTSPIDER и SNAPPYBEE, причем сообщения подтверждают нарушения, связанные с крупными операторами связи в США.

В дополнение к работе с телекоммуникационными компаниями, Earth Estries также сосредоточилась на организациях, связанных с правительством, в Азиатско-Тихоокеанском регионе, США, Южной Африке и на Ближнем Востоке, в рамках так называемой "кампании Альфа". Это включает в себя прямые атаки на правительственные учреждения и консалтинговые фирмы, которые сотрудничают с правительством США и военным сектором. В ходе этих операций также использовались такие инструменты атаки, как DEMODEX и Cobalt Strike, которые способствуют широкомасштабной компрометации организаций из различных секторов, включая технологии, НПО и транспорт.

Earth Estries использует ряд методов начального доступа, которые в основном направлены на использование известных уязвимостей в общедоступных приложениях. К наиболее заметным уязвимостям относятся сервер Microsoft Exchange Server (связанный с уязвимостями ProxyLogon), Ivanti Connect Secure (CVE-2023-46805 с оценкой 8,2 и CVE-2024-21887 с оценкой 9,1), FortiClient EMS (CVE-2023-48788 с оценкой CVSS 9,8) и брандмауэр Sophos (CVE-2022-3236, также набрав 9,8 балла).

Оказавшись внутри сети, группа использует различные методы выполнения и сохранения данных, в частности, полагаясь на законные двоичные файлы Windows (LOLBINS), такие как PSEXEC и WMIC, а также сценарии PowerShell, которые могут обойти методы обнаружения, такие как AMSI. Их инструментарий включает в себя пользовательские бэкдоры, такие как GHOSTSPIDER и MASOL RAT, а также руткиты, такие как DEMODEX, для поддержания долгосрочного доступа. Методы обхода защиты являются сложными и включают операции с памятью, зашифрованные каналы управления (C&C) и очистку артефактов вредоносного ПО после выполнения операций.

Для горизонтального перемещения внутри сетей Earth Estries использует такие инструменты, как PsExec и WMIC, которые облегчают картографирование сети и перемещение. Инфраструктура C&C сложна и может управляться отдельными командами, часто с использованием многоступенчатых прокси-серверов и общедоступных служб обмена файлами для связи и фильтрации данных. Эксфильтрация осуществляется с помощью таких программ, как TrillClient, которые дополняются утилитами, помогающими архивировать и загружать данные на внешние файлообменные платформы. В целом, тактика, применяемая Earth Estries, демонстрирует высокоорганизованного, находчивого хакера, владеющего надежным методом проведения масштабных киберопераций.

#ParsedReport #CompletenessLow
17-04-2025

Unmasking the new XorDDoS controller and infrastructure

https://blog.talosintelligence.com/unmasking-the-new-xorddos-controller-and-infrastructure/

Report completeness: Low

Threats:
Xorddos

Geo:
Japan, Israel, Brazil, Turkey, Ukraine, France, Spain, United kingdom, Chinese, Netherlands, Korea, Taiwan, India, Australia, Thailand, Singapore, Switzerland, Finland, Germany, Venezuela, Arab emirates, Argentina, Canada, Italy, United arab emirates, Saudi arabia, Paraguay, China

ChatGPT TTPs:
do not use without manual check
T1498, T1078, T1105, T1059.004

IOCs:
Hash: 2
Domain: 3
IP: 171

Soft:
linux, Docker

Algorithms:
xor

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/04/new\_XorDDoS\_controller\_and\_infrastructure.txt

#ParsedReport #ExtractedSchema

Classified images:
chart: 3, code: 2, windows: 1, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
XorDDoS, вредоносная программа для DDoS-атак, управляемая китайскоязычными пользователями, нацелена на компьютеры Linux и среды Docker, используя для доступа перебор SSH. Ее последняя "VIP-версия" отличается улучшенным управлением командами и зашифрованными соединениями, а также методами постоянной установки, что усложняет усилия по обнаружению.
-----

Компания Cisco Talos сообщила о продолжающейся активности, связанной с XorDDoS, вредоносным ПО с распределенным отказом в обслуживании (DDoS), распространение которого наблюдалось по всему миру в период с ноября 2023 по февраль 2025 года. Примерно 70% атак с использованием XorDDoS были нацелены на системы в Соединенных Штатах, что свидетельствует о значительной географической концентрации. Предполагается, что вредоносная программа управляется лицами, говорящими по-китайски, на что указывают языковые настройки ее многоуровневого контроллера и инструментов разработки. Последняя версия, называемая "VIP-версией", позволяет создавать более сложную сеть DDoS-ботов и управлять ею.

XorDDoS специально нацелен на компьютеры с Linux, превращая их в "зомби-ботов", способных совершать скоординированные атаки. Троян был впервые обнаружен в 2014 году, а в 2015 году был обнаружен субконтроллер. Его распространенность возросла с 2020 по 2023 год, что объясняется увеличением количества вредоносных DNS-запросов, связанных с его командно-контрольной инфраструктурой (C2). Вредоносная программа использует SSH-атаки для получения доступа к устройствам Linux, используя вредоносный сценарий оболочки, который систематически использует различные комбинации учетных данных root. После успешного выполнения XorDDoS устанавливает постоянство путем установки сценариев инициализации и cron-заданий, чтобы обеспечить их выполнение при запуске.

Вредоносная программа продолжает использовать те же механизмы дешифрования, используя фиксированный ключ XOR для расшифровки параметров конфигурации. Примечательно, что анализ, проведенный Talos, показал, что XorDDoS может не только скомпрометировать традиционные серверы Linux, но и нацелен на среды Docker. За наблюдаемый период времени около 50% скомпрометированных систем были расположены в Соединенных Штатах, в то время как сообщения об атаках поступали из нескольких стран по всему миру.

Кроме того, компания Talos определила улучшения в операционной системе XorDDoS, внедрив новый центральный контроллер, предназначенный для управления несколькими субконтроллерами. Это позволяет упростить выполнение команд DDoS на различных зараженных компьютерах. Новый контроллер обладает расширенными возможностями привязки функций контроллера и предоставляет киберпреступникам инструменты для более эффективной координации во время атак. В нем используется функция внедрения DLL-файлов в контроллеры XorDDoS для управления операциями.

Анализ трафика, проведенный Talos, показал, что троянец XorDDoS поддерживает активное соединение со своей инфраструктурой C2, используя зашифрованный обмен данными для проверки и выполнения команд. Целостность установленного соединения проверяется с помощью изменений заголовка CRC, которые служат для базовой аутентификации клиент-сервер. Такое систематическое поведение указывает на преднамеренные усилия хакеров по совершенствованию своей тактики, гарантирующей устойчивость их операций к обнаружению и вмешательству.

Таким образом, разработка и распространение XorDDoS представляют собой постоянную проблему в борьбе с киберпреступностью, обусловленную постоянными инвестициями операторов в свои инструменты и инфраструктуру.

#ParsedReport #CompletenessLow
17-04-2025

Inside the Attack: The Javascript Code Behind Credit Card Theft

https://labs.yarix.com/2025/04/inside-the-attack-the-javascript-code-behind-credit-card-theft/

Report completeness: Low

Actors/Campaigns:
Magecart

Threats:
Chameleon

Industry:
E-commerce

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1566.002

IOCs:
File: 3

Algorithms:
base64

Languages:
php, javascript