#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 5, chart: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Спонсируемые государством субъекты из Северной Кореи, Ирана и России используют технологию социальной инженерии ClickFix, которая традиционно ассоциируется с киберпреступностью, для улучшения методов доставки вредоносных программ. Этот метод побуждает пользователей выполнять вредоносные команды PowerShell, что приводит к развертыванию вредоносных программ, таких как QuasarRAT и средства удаленного управления. Интеграция ClickFix свидетельствует о том, что государственные структуры перенимают и адаптируют методы киберпреступников, что свидетельствует об изменении ландшафта угроз.
-----

Спонсируемые государством субъекты начали использовать технологию социальной инженерии ClickFix, которая традиционно ассоциируется с киберпреступностью. Северокорейские, иранские и российские группы, включая TA427, TA450, UNK_RemoteRogue и TA422, включили ClickFix в свои кампании в период с конца 2024 по начало 2025 года. ClickFix изменяет цепочки заражения, уделяя особое внимание этапам установки и выполнения, не изменяя общей структуры атаки. Он предлагает пользователям выполнять вредоносные команды с помощью диалоговых окон, замаскированных под сообщения об ошибках. TA571 и ClearFake cluster впервые внедрили ClickFix в марте 2024 года. TA427 использовал ClickFix для нацеливания на сотрудников аналитических центров, связанных с Северной Кореей, заставляя жертв выполнять команды PowerShell, которые запускали вредоносное ПО QuasarRAT. TA450 рассылал организациям на Ближнем Востоке фишинговые электронные письма, замаскированные под обновления системы безопасности Microsoft, заставляя пользователей устанавливать средства удаленного управления, в том числе новый инструмент Level. UNK_RemoteRogue нацелился на оборонную промышленность, используя ClickFix для взлома почтовых серверов, чтобы доставлять вредоносные ссылки, которые вызывали запуск PowerShell. TA422, связанный с группой Sofacy, использовал ClickFix в фишинговых атаках для создания SSH-туннеля. Разнообразие тактик этих групп указывает на то, что спонсируемые государством субъекты адаптируют методы киберпреступников. Использование ClickFix позволяет предположить, что эти субъекты могут вернуться к традиционным методам, что указывает на то, что кампании могут служить скорее испытаниями, чем фундаментальными изменениями. Отсутствие ClickFix у китайских государственных структур указывает на различия в поведении хакеров по всему миру и потенциальные области для дальнейшего изучения в области хакерской разведки.

#ParsedReport #CompletenessHigh
18-04-2025

Team46 and TaxOff: Two Sides of the Same Coin

https://ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/team46-i-taxoff-dve-storony-odnoi-medali/

Report completeness: High

Actors/Campaigns:
Team46
Taxoff

Threats:
Trinper
Spear-phishing_technique
Donut
Process_injection_technique
Cobalt_strike
Process_hollowing_technique
Domain_fronting_technique
Dll_hijacking_technique
Siggen
Reflectiveloader

CVEs:
CVE-2024-6473 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- yandex yandex browser (<24.7.1.380)

CVE-2025-2783 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<134.0.6998.177)


TTPs:
Tactics: 10
Technics: 26

IOCs:
IP: 1
Url: 6
File: 11
Command: 2
Path: 1
Hash: 12

Soft:
Chrome, Yandex Browser

Algorithms:
chacha20, sha256, base64, zip, aes, aes-256

Win API:
GetSystemFirmwareTable, NtQueueApcThread, WTSQuerySessionInformationW

Languages:
powershell, php

Platforms:
x64

Links:
https://github.com/TheWover/donut

#ParsedReport #CompletenessLow
18-04-2025

npm Malware Targets Telegram Bot Developers with Persistent SSH Backdoors

https://socket.dev/blog/npm-malware-targets-telegram-bot-developers

Report completeness: Low

Threats:
Typosquatting_technique
Starjacking_technique
Supply_chain_technique

Victims:
Linux developer machines

TTPs:
Tactics: 2
Technics: 4

IOCs:
File: 7
Domain: 1

Soft:
Telegram, Linux, Google Play, Gatekeeper, Node.js Telegram

Functions:
addBotId, getBotId

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена атака на цепочку поставок, использующая вредоносные пакеты npm, которые выдают себя за библиотеки ботов Telegram, для установки SSH-бэкдоров в системах Linux. Эти пакеты позволяют злоумышленникам получать постоянный доступ и извлекать данные со взломанных компьютеров, выявляя уязвимости в немодерируемых экосистемах и острую необходимость в мерах безопасности цепочки поставок программного обеспечения.
-----

Недавнее расследование, проведенное исследователями угроз, выявило атаку на цепочку поставок с использованием вредоносных пакетов npm, которые маскируются под законные библиотеки ботов Telegram. Эти пакеты с опечатками, предназначенные для разработчиков, использующих широко распространенную библиотеку node-telegram-bot-api, устанавливают SSH-бэкдоры в системах Linux и могут извлекать данные со взломанных компьютеров разработчиков. С начала 2025 года несколько вредоносных версий, таких как node-telegram-utils и node-telegram-bots-api, в совокупности набрали около 300 загрузок, демонстрируя уязвимость, при которой даже небольшое количество установок может привести к серьезным нарушениям безопасности.

Атака использует немодерируемую экосистему ботов Telegram, позволяя любому создавать и распространять ботов без официальной проверки. Отсутствие контроля облегчает злоумышленникам распространение поддельных или вредоносных пакетов, имитирующих надежные библиотеки, что позволяет эффективно обманывать разработчиков. Нелегитимные пакеты копируют содержимое из файла README реальной библиотеки, что не только создает обманчивое чувство доверия, но и отсылает к законному репозиторию GitHub, повышая популярность и авторитет реального проекта.

После установки вредоносного пакета он запускает скрытую функцию addBotId(), которая работает только на платформах Linux, то есть автоматически выполняет свои действия без участия пользователя. Эта функция изменяет авторизованные ключи в файле конфигурации SSH, чтобы ввести два предоставленных злоумышленником SSH-ключа, обеспечивая постоянный удаленный доступ без пароля. Если один ключ удален, другой остается и все еще может быть использован злоумышленниками. Кроме того, вредоносная программа извлекает конфиденциальную информацию, такую как внешний IP-адрес системы и имя пользователя, и немедленно отправляет сообщение на внешний сервер для подтверждения компрометации.

Наличие вредоносного кода, скрытого в законном коде, представляет значительный риск, поскольку вредоносное поведение может остаться незамеченным разработчиками. Простое удаление вредоносного пакета не снижает риск, поскольку введенные SSH-ключи остаются, обеспечивая постоянный несанкционированный доступ.

Полученные данные указывают на более широкую тенденцию к тому, что хакеры успешно используют экосистемы с открытым исходным кодом, такие как npm, для распространения вредоносных программ, замаскированных под безопасные средства разработки. Эта ситуация подчеркивает критическую важность обеспечения безопасности цепочки поставок программного обеспечения, а разработчикам и организациям рекомендуется регулярно проводить аудит зависимостей и использовать автоматизированные средства сканирования для выявления потенциальных угроз и реагирования на них. Усовершенствованные меры безопасности, такие как мониторинг запросов на обновление в режиме реального времени, обнаружение уязвимостей в процессе сборки и упреждающий анализ просмотра, могут существенно снизить риск нарушения цепочки поставок программного обеспечения.

#ParsedReport #CompletenessHigh
18-04-2025

New Wave of Cyberattacks by APT Group Cloud Atlas on Russian Public Sector

https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/novaya-volna-kiberatak-apt-gruppirovki-cloud-atlas-na-gosudarstvennyj-sektor-rossii

Report completeness: High

Actors/Campaigns:
Cloudatlas

Threats:
Powershower_tool
Vbshower_tool
Spear-phishing_technique
Dll_sideloading_technique
Bec_technique
Rtcpproxy_tool

Victims:
Russian government agencies, Russian defense industry enterprise, Enterprises of the russian military-industrial complex, Russian public sector, Previously infected institutions and enterprises

Industry:
Military, Government

Geo:
Azerbaijan, Belarus, Russian, Slovenia, Turkey, Russia

TTPs:
Tactics: 9
Technics: 34

IOCs:
Hash: 18
Domain: 4
Registry: 3
File: 4
IP: 4

Soft:
Component Object Model, Microsoft Office, Windows registry

Algorithms:
aes

Languages:
powershell, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа разработчиков Cloud Atlas APT нацелена на российские сети государственного сектора, используя украденные шаблоны Microsoft Office для создания необнаруживаемых вредоносных документов для BEC-атак. Их изощренные методы включают удаление метаданных и скрытую инфраструктуру управления документами, что указывает на растущую угрозу военно-промышленному сектору.
-----

Группа Cloud Atlas APT в последнее время активизировала свои кибератаки, в частности, на российские сети государственного сектора и предприятия военно-промышленного комплекса. Эта группа использует сложные методы, в том числе создает собственные вредоносные файлы на основе украденных шаблонов Microsoft Office, чтобы избежать обнаружения. Из этих документов удалены метаданные, чтобы скрыть их происхождение и снизить вероятность выявления ранее скомпрометированных организаций. Cloud Atlas group использует скомпрометированные учетные записи электронной почты для проведения атак на коммерческую электронную почту (BEC), что позволяет обмениваться данными между зараженными предприятиями и их филиалами.

В ноябре 2024 года российское правительственное учреждение привлекло группу реагирования на инциденты для устранения кибератаки, которая привела к выявлению вредоносной инфраструктуры Cloud Atlas. Средства киберразведки обнаружили активную атаку, когда было подтверждено, что вредоносный документ инициирует подключение к командному центру группы. Время для атаки, которая произошла в конце рабочей недели, вероятно, было выбрано таким образом, чтобы использовать периоды снижения бдительности сотрудников и обеспечить злоумышленникам беспрепятственный доступ в выходные дни.

Последующий анализ показал, что встроенная инфраструктура контроля в этих вредоносных документах последовательно следовала шаблону — информация была скрыта в потоке "1Table" в файлах Microsoft Office. В январе 2025 года была выявлена еще одна атака, в ходе которой аналогичный вредоносный документ был отправлен на российское оборонное предприятие, что указывает на постоянную нацеленность группировки на этот сектор. Примечательно, что инфраструктура злоумышленников отличалась высокой степенью изощренности, включая сервер IMAP, активированный для рассылки вредоносной электронной почты, использующий шифрование TLS для уклонения от мониторинга.

Проверка вредоносных документов, использованных Cloud Atlas, показала, что они содержат различные профессиональные и правительственные материалы, которые могут легко ввести в заблуждение получателей. Среди них были приглашения на учебные курсы и документы, касающиеся борьбы с коррупцией. Детальное расследование выявило многочисленные признаки, свидетельствующие о том, что эти документы были созданы на основе закрытых правительственных материалов, в которые были внесены изменения, чтобы избежать раскрытия информации после реальных попыток кибератак. Аналогичным образом, многие документы были помечены устаревшими датами и вымышленными событиями, что повысило доверие к официальным сообщениям.

С 2019 года Positive Technologies проводит мониторинг Cloud Atlas, отмечая значительный сдвиг в фокусе внимания группы в сторону России с 2024 года, что указывает на растущий уровень угрозы. Их постоянная бдительность и своевременные предупреждения о надвигающихся хакерских атаках подчеркивают меняющиеся стратегии группы и высокий риск, который они представляют для российских учреждений. Вероятность дальнейших атак остается значительной, о чем свидетельствует регистрация новых сертификатов TLS для вредоносной инфраструктуры, что говорит о том, что Cloud Atlas продолжает совершенствовать и адаптировать свои методы для будущих кампаний.

#ParsedReport #CompletenessHigh
18-04-2025

Team46 and TaxOff: Two Sides of the Same Coin

https://ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/team46-i-taxoff-dve-storony-odnoi-medali/

Report completeness: High

Actors/Campaigns:
Team46
Taxoff

Threats:
Trinper
Spear-phishing_technique
Donut
Process_injection_technique
Cobalt_strike
Process_hollowing_technique
Domain_fronting_technique
Dll_hijacking_technique
Siggen
Reflectiveloader

CVEs:
CVE-2024-6473 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- yandex yandex browser (<24.7.1.380)

CVE-2025-2783 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<134.0.6998.177)


TTPs:
Tactics: 10
Technics: 26

IOCs:
IP: 1
Url: 6
File: 11
Command: 2
Path: 1
Hash: 12

Soft:
Chrome, Yandex Browser

Algorithms:
chacha20, sha256, base64, zip, aes, aes-256

Win API:
GetSystemFirmwareTable, NtQueueApcThread, WTSQuerySessionInformationW

Languages:
powershell, php

Platforms:
x64

Links:
https://github.com/TheWover/donut

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2025 года TaxOff group осуществила сложную кибератаку, используя уязвимость нулевого дня CVE-2025-2783 в Chrome, чтобы установить бэкдор Trinper с помощью фишинга. Эта атака имела сходство с предыдущими инцидентами Team46, включая использование сценария Powershell для первоначального заражения и общие соглашения об именах, что указывает на связь между двумя группами. Их вредоносное ПО использует передовые методы шифрования и нацелено на долгосрочный доступ к защищенным средам, что указывает на значительную угрозу.
-----

В марте 2025 года в ходе сложной кибератаки, приписываемой TaxOff group, была использована уязвимость нулевого дня CVE-2025-2783, которая затрагивает браузер Chrome, позволяя выйти из "песочницы". Этот эксплойт был внедрен с помощью фишингового электронного письма, содержащего ссылку на вредоносный форум, что привело к установке бэкдора Trinper. Злоумышленники использовали типичную структуру управления, которая использовалась в предыдущих инцидентах с Team46, что указывает на возможную связь между Team46 и TaxOff.

Анализ последовательности атак показал, что первоначальным источником заражения был сценарий Powershell, активированный с помощью события, инициированного пользователем. Ссылки на электронную почту и документы, представленные в ходе атаки, содержали те же правила именования, что и в предыдущих инцидентах, связанных с Team46, что подтверждает идею общей операционной методологии.

В ходе более ранней атаки, проведенной в октябре 2024 года, было отмечено использование браузера Yandex для выполнения вредоносной полезной нагрузки, в которой использовался метод перехвата библиотек DLL, нацеленный на компонент rdpclip.exe. Эта среда использовалась для управления операциями с использованием бэкдора Trinper, который связывался с командным сервером по адресу common-rdp-front.global.ssl.fastly.net. Кроме того, при других атаках использовались вводящие в заблуждение имена файлов и команды, характерные для Team46, что указывало на постоянную схему работы.

Архитектура вредоносного ПО имеет сходство; обе группы реализовали функции для расшифровки полезной нагрузки на основе UUID встроенного ПО зараженной системы - метод, который не только настраивает вредоносное ПО для каждой цели, но и потенциально ограничивает усилия криминалистов. Были использованы различные методы шифрования и хеширования, такие как модифицированные алгоритмы ChaCha20 и BLAKE2, что еще раз иллюстрирует их возможности в разработке специально разработанного вредоносного программного обеспечения.

Совокупные данные свидетельствуют о том, что Team46 и TaxOff, скорее всего, являются компонентами одной и той же APT-группы, что подтверждает их название как Team46. Такие характеристики, как использование эксплойтов нулевого дня и развертывание сложных вредоносных программ, демонстрируют стратегический подход, направленный на проникновение в защищенные среды и сохранение долгосрочного доступа к скомпрометированным системам. Настойчивость и изощренность их тактики подтверждают, что эти хакеры представляют существенный риск для целевой инфраструктуры.

#ParsedReport #CompletenessHigh
19-04-2025

Dark Web Profile: Flax Typhoon - SOCRadar Cyber Intelligence Inc.

https://socradar.io/dark-web-profile-flax-typhoon/

Report completeness: High

Actors/Campaigns:
Flax_typhoon (motivation: cyber_espionage)

Threats:
Acunetix_tool
Chinachopper
Devilzshell
Antsword
Raptor_train
Passthehash_technique
Credential_dumping_technique
Juicypotato_tool
Badpotato_tool
Bitsadmin_tool
Mimikatz_tool
Mirai

Victims:
Government agencies, Educational institutions, Critical manufacturing facilities, Information technology organizations, Government, Education, Technology, Diplomatic, Telecommunications

Industry:
Government, Education, Telco, Iot

Geo:
Korea, Chinese, African, Kenya, Australia, Hong kong, Africa, Malaysia, Taiwanese, Asia, Rwanda, Laos, Djibouti, America, Taiwan, China

TTPs:
Tactics: 9
Technics: 16

IOCs:
File: 4
Domain: 1

Soft:
SoftEther, Windows Service, Windows Terminal, Local Security Authority

Algorithms:
exhibit

Languages:
java, powershell

#ParsedReport #CompletenessMedium
19-04-2025

Billbug: Intrusion Campaign Against Southeast Asia Continues

https://www.security.com/threat-intelligence/billbug-china-espionage

Report completeness: Medium

Actors/Campaigns:
Dragonfish (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique
Sagerunex
Chromekatz_tool
Credentialkatz_tool
Spear-phishing_technique
Elise
Hannotog

Victims:
Government ministry, Air traffic control organization, Telecoms operator, Construction company, News agency, Air freight organization, Digital certificate authority

Industry:
Military, Government, Maritime, Education, Telco

Geo:
Philippines, Hong kong, Asian, Vietnam, Asia, China, Indonesia, Macau, Chinese, Malaysia

ChatGPT TTPs:
do not use without manual check
T1553.002, T1574.002, T1055.001, T1078, T1105, T1204.002

IOCs:
File: 10
Hash: 11
Path: 3

Soft:
Twitter, Chrome, PsExec

Algorithms:
sha256

Links:
https://github.com/openziti/zrok

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Шпионская группа Billbug с августа 2024 по февраль 2025 года проводила сложные киберкампании, нацеленные на организации в Юго-Восточной Азии, используя специальные инструменты для атак с боковой загрузкой библиотек DLL и кражи учетных данных, используя законное программное обеспечение, чтобы избежать обнаружения. В ходе своей работы они использовали новую версию бэкдора Sagerunex для повышения надежности и продемонстрировали передовые методы, такие как загрузка вредоносных библиотек DLL с помощью законных исполняемых файлов. Billbug прошел путь от фишинга до сложных вторжений в правительственные и военные объекты, что создает значительные риски для кибербезопасности.
-----

Шпионская группа Billbug (также известная как Lotus Blossom или Bronze Elgin) с августа 2024 по февраль 2025 года провела серию кампаний по проникновению в различные организации в одной из стран Юго-Восточной Азии. Среди пострадавших организаций были правительственное министерство, организация по управлению воздушным движением, оператор связи и строительная компания. Кроме того, были совершены нападения на информационное агентство и организацию по авиаперевозкам в соседних странах. В ходе операций использовался целый ряд недавно разработанных пользовательских инструментов, включая загрузчики, устройства для кражи учетных данных и инструмент обратного SSH, что свидетельствует о высоком уровне кибервозможностей.

Атаки характеризовались использованием легального программного обеспечения в качестве средства для выполнения вредоносного кода с помощью метода, известного как дополнительная загрузка библиотек DLL. Примечательно, что было обнаружено, что исполняемый файл Trend Micro с именем "tmdbglog.exe` загружал вредоносную библиотеку DLL `tmdglog.dll", которая выполняла функцию загрузчика для чтения и выполнения содержимого из файла журнала. Другой исполняемый файл, "bds.exe` от Bitdefender, использовался для загрузки `log.dll", который аналогичным образом считывал данные конфигурации и вводил расшифрованный контент в другие процессы. Этот метод демонстрирует способность группы использовать доверенное программное обеспечение для обхода механизмов обнаружения.

Кроме того, группа представила новую версию бэкдора Sagerunex, эксклюзивного инструмента для Billbug, который известен тем, что обеспечивает постоянство с помощью изменений в реестре, которые позволяют ему работать как сервису. Кроме того, злоумышленники внедрили новые инструменты, специально предназначенные для кражи учетных данных из веб-браузера Chrome, включая ChromeKatz и CredentialKatz.

Billbug действует по меньшей мере с 2009 года, уделяя особое внимание нападениям на правительства и военные структуры Юго-Восточной Азии. Его операции демонстрируют растущую изощренность, переходя от тактики скрытого фишинга с использованием пользовательского троянца Trensil к сложным многоплановым кампаниям с использованием различных бэкдоров, выявленных с течением времени, включая Hannotog и ранее упомянутый Sagerunex. Действия группы в 2022 году против центра сертификации цифровых данных свидетельствуют о его потенциальной возможности скомпрометировать инфраструктуру безопасности, создавая значительные риски из-за несанкционированного доступа к сертификатам, который может облегчить управление сигнатурами вредоносных программ и перехват HTTPS-трафика.

#ParsedReport #ExtractedSchema

Classified images:
schema: 3

#ParsedReport #CompletenessLow
20-04-2025

Python Backdoor Uploaded from Taiwan

https://dmpdump.github.io/posts/Python_Backdoor_TW/

Report completeness: Low

Threats:
Gh0st_rat

Geo:
Taiwan

ChatGPT TTPs:
do not use without manual check
T1204.002, T1105, T1059.005, T1059.006, T1071.001, T1027, T1053.005

IOCs:
File: 8
Hash: 3
Path: 2
Domain: 2
Url: 4
Command: 1

Soft:
curl

Algorithms:
base64, deflate, zip, gzip

Functions:
mythread, TaskMachineCore

Win API:
decompress

Languages:
visual_basic, python, lua

Platforms:
x64

Links:
https://github.com/dmpdump

#ParsedReport #GeneratedSchema
Generated with GPT-4