#ParsedReport #CompletenessHigh
18-04-2025
Team46 and TaxOff: Two Sides of the Same Coin
https://ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/team46-i-taxoff-dve-storony-odnoi-medali/
Report completeness: High
Actors/Campaigns:
Team46
Taxoff
Threats:
Trinper
Spear-phishing_technique
Donut
Process_injection_technique
Cobalt_strike
Process_hollowing_technique
Domain_fronting_technique
Dll_hijacking_technique
Siggen
Reflectiveloader
CVEs:
CVE-2024-6473 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- yandex yandex browser (<24.7.1.380)
CVE-2025-2783 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<134.0.6998.177)
TTPs:
Tactics: 10
Technics: 26
IOCs:
IP: 1
Url: 6
File: 11
Command: 2
Path: 1
Hash: 12
Soft:
Chrome, Yandex Browser
Algorithms:
chacha20, sha256, base64, zip, aes, aes-256
Win API:
GetSystemFirmwareTable, NtQueueApcThread, WTSQuerySessionInformationW
Languages:
powershell, php
Platforms:
x64
Links:
18-04-2025
Team46 and TaxOff: Two Sides of the Same Coin
https://ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/team46-i-taxoff-dve-storony-odnoi-medali/
Report completeness: High
Actors/Campaigns:
Team46
Taxoff
Threats:
Trinper
Spear-phishing_technique
Donut
Process_injection_technique
Cobalt_strike
Process_hollowing_technique
Domain_fronting_technique
Dll_hijacking_technique
Siggen
Reflectiveloader
CVEs:
CVE-2024-6473 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- yandex yandex browser (<24.7.1.380)
CVE-2025-2783 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<134.0.6998.177)
TTPs:
Tactics: 10
Technics: 26
IOCs:
IP: 1
Url: 6
File: 11
Command: 2
Path: 1
Hash: 12
Soft:
Chrome, Yandex Browser
Algorithms:
chacha20, sha256, base64, zip, aes, aes-256
Win API:
GetSystemFirmwareTable, NtQueueApcThread, WTSQuerySessionInformationW
Languages:
powershell, php
Platforms:
x64
Links:
https://github.com/TheWover/donutptsecurity.com
Team46 и TaxOff: две стороны одной медали
В марте 2025 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) исследовали атаку, в которой использовалась зарегистрированная примерно в это же время уязвимость нулевого дня CVE-2025…
#ParsedReport #CompletenessLow
18-04-2025
npm Malware Targets Telegram Bot Developers with Persistent SSH Backdoors
https://socket.dev/blog/npm-malware-targets-telegram-bot-developers
Report completeness: Low
Threats:
Typosquatting_technique
Starjacking_technique
Supply_chain_technique
Victims:
Linux developer machines
TTPs:
Tactics: 2
Technics: 4
IOCs:
File: 7
Domain: 1
Soft:
Telegram, Linux, Google Play, Gatekeeper, Node.js Telegram
Functions:
addBotId, getBotId
Platforms:
apple
18-04-2025
npm Malware Targets Telegram Bot Developers with Persistent SSH Backdoors
https://socket.dev/blog/npm-malware-targets-telegram-bot-developers
Report completeness: Low
Threats:
Typosquatting_technique
Starjacking_technique
Supply_chain_technique
Victims:
Linux developer machines
TTPs:
Tactics: 2
Technics: 4
IOCs:
File: 7
Domain: 1
Soft:
Telegram, Linux, Google Play, Gatekeeper, Node.js Telegram
Functions:
addBotId, getBotId
Platforms:
apple
Socket
npm Malware Targets Telegram Bot Developers with Persistent ...
Malicious npm packages posing as Telegram bot libraries install SSH backdoors and exfiltrate data from Linux developer machines.
CTT Report Hub
#ParsedReport #CompletenessLow 18-04-2025 npm Malware Targets Telegram Bot Developers with Persistent SSH Backdoors https://socket.dev/blog/npm-malware-targets-telegram-bot-developers Report completeness: Low Threats: Typosquatting_technique Starjacking_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Была выявлена атака на цепочку поставок, использующая вредоносные пакеты npm, которые выдают себя за библиотеки ботов Telegram, для установки SSH-бэкдоров в системах Linux. Эти пакеты позволяют злоумышленникам получать постоянный доступ и извлекать данные со взломанных компьютеров, выявляя уязвимости в немодерируемых экосистемах и острую необходимость в мерах безопасности цепочки поставок программного обеспечения.
-----
Недавнее расследование, проведенное исследователями угроз, выявило атаку на цепочку поставок с использованием вредоносных пакетов npm, которые маскируются под законные библиотеки ботов Telegram. Эти пакеты с опечатками, предназначенные для разработчиков, использующих широко распространенную библиотеку node-telegram-bot-api, устанавливают SSH-бэкдоры в системах Linux и могут извлекать данные со взломанных компьютеров разработчиков. С начала 2025 года несколько вредоносных версий, таких как node-telegram-utils и node-telegram-bots-api, в совокупности набрали около 300 загрузок, демонстрируя уязвимость, при которой даже небольшое количество установок может привести к серьезным нарушениям безопасности.
Атака использует немодерируемую экосистему ботов Telegram, позволяя любому создавать и распространять ботов без официальной проверки. Отсутствие контроля облегчает злоумышленникам распространение поддельных или вредоносных пакетов, имитирующих надежные библиотеки, что позволяет эффективно обманывать разработчиков. Нелегитимные пакеты копируют содержимое из файла README реальной библиотеки, что не только создает обманчивое чувство доверия, но и отсылает к законному репозиторию GitHub, повышая популярность и авторитет реального проекта.
После установки вредоносного пакета он запускает скрытую функцию addBotId(), которая работает только на платформах Linux, то есть автоматически выполняет свои действия без участия пользователя. Эта функция изменяет авторизованные ключи в файле конфигурации SSH, чтобы ввести два предоставленных злоумышленником SSH-ключа, обеспечивая постоянный удаленный доступ без пароля. Если один ключ удален, другой остается и все еще может быть использован злоумышленниками. Кроме того, вредоносная программа извлекает конфиденциальную информацию, такую как внешний IP-адрес системы и имя пользователя, и немедленно отправляет сообщение на внешний сервер для подтверждения компрометации.
Наличие вредоносного кода, скрытого в законном коде, представляет значительный риск, поскольку вредоносное поведение может остаться незамеченным разработчиками. Простое удаление вредоносного пакета не снижает риск, поскольку введенные SSH-ключи остаются, обеспечивая постоянный несанкционированный доступ.
Полученные данные указывают на более широкую тенденцию к тому, что хакеры успешно используют экосистемы с открытым исходным кодом, такие как npm, для распространения вредоносных программ, замаскированных под безопасные средства разработки. Эта ситуация подчеркивает критическую важность обеспечения безопасности цепочки поставок программного обеспечения, а разработчикам и организациям рекомендуется регулярно проводить аудит зависимостей и использовать автоматизированные средства сканирования для выявления потенциальных угроз и реагирования на них. Усовершенствованные меры безопасности, такие как мониторинг запросов на обновление в режиме реального времени, обнаружение уязвимостей в процессе сборки и упреждающий анализ просмотра, могут существенно снизить риск нарушения цепочки поставок программного обеспечения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Была выявлена атака на цепочку поставок, использующая вредоносные пакеты npm, которые выдают себя за библиотеки ботов Telegram, для установки SSH-бэкдоров в системах Linux. Эти пакеты позволяют злоумышленникам получать постоянный доступ и извлекать данные со взломанных компьютеров, выявляя уязвимости в немодерируемых экосистемах и острую необходимость в мерах безопасности цепочки поставок программного обеспечения.
-----
Недавнее расследование, проведенное исследователями угроз, выявило атаку на цепочку поставок с использованием вредоносных пакетов npm, которые маскируются под законные библиотеки ботов Telegram. Эти пакеты с опечатками, предназначенные для разработчиков, использующих широко распространенную библиотеку node-telegram-bot-api, устанавливают SSH-бэкдоры в системах Linux и могут извлекать данные со взломанных компьютеров разработчиков. С начала 2025 года несколько вредоносных версий, таких как node-telegram-utils и node-telegram-bots-api, в совокупности набрали около 300 загрузок, демонстрируя уязвимость, при которой даже небольшое количество установок может привести к серьезным нарушениям безопасности.
Атака использует немодерируемую экосистему ботов Telegram, позволяя любому создавать и распространять ботов без официальной проверки. Отсутствие контроля облегчает злоумышленникам распространение поддельных или вредоносных пакетов, имитирующих надежные библиотеки, что позволяет эффективно обманывать разработчиков. Нелегитимные пакеты копируют содержимое из файла README реальной библиотеки, что не только создает обманчивое чувство доверия, но и отсылает к законному репозиторию GitHub, повышая популярность и авторитет реального проекта.
После установки вредоносного пакета он запускает скрытую функцию addBotId(), которая работает только на платформах Linux, то есть автоматически выполняет свои действия без участия пользователя. Эта функция изменяет авторизованные ключи в файле конфигурации SSH, чтобы ввести два предоставленных злоумышленником SSH-ключа, обеспечивая постоянный удаленный доступ без пароля. Если один ключ удален, другой остается и все еще может быть использован злоумышленниками. Кроме того, вредоносная программа извлекает конфиденциальную информацию, такую как внешний IP-адрес системы и имя пользователя, и немедленно отправляет сообщение на внешний сервер для подтверждения компрометации.
Наличие вредоносного кода, скрытого в законном коде, представляет значительный риск, поскольку вредоносное поведение может остаться незамеченным разработчиками. Простое удаление вредоносного пакета не снижает риск, поскольку введенные SSH-ключи остаются, обеспечивая постоянный несанкционированный доступ.
Полученные данные указывают на более широкую тенденцию к тому, что хакеры успешно используют экосистемы с открытым исходным кодом, такие как npm, для распространения вредоносных программ, замаскированных под безопасные средства разработки. Эта ситуация подчеркивает критическую важность обеспечения безопасности цепочки поставок программного обеспечения, а разработчикам и организациям рекомендуется регулярно проводить аудит зависимостей и использовать автоматизированные средства сканирования для выявления потенциальных угроз и реагирования на них. Усовершенствованные меры безопасности, такие как мониторинг запросов на обновление в режиме реального времени, обнаружение уязвимостей в процессе сборки и упреждающий анализ просмотра, могут существенно снизить риск нарушения цепочки поставок программного обеспечения.
#ParsedReport #CompletenessHigh
18-04-2025
New Wave of Cyberattacks by APT Group Cloud Atlas on Russian Public Sector
https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/novaya-volna-kiberatak-apt-gruppirovki-cloud-atlas-na-gosudarstvennyj-sektor-rossii
Report completeness: High
Actors/Campaigns:
Cloudatlas
Threats:
Powershower_tool
Vbshower_tool
Spear-phishing_technique
Dll_sideloading_technique
Bec_technique
Rtcpproxy_tool
Victims:
Russian government agencies, Russian defense industry enterprise, Enterprises of the russian military-industrial complex, Russian public sector, Previously infected institutions and enterprises
Industry:
Military, Government
Geo:
Azerbaijan, Belarus, Russian, Slovenia, Turkey, Russia
TTPs:
Tactics: 9
Technics: 34
IOCs:
Hash: 18
Domain: 4
Registry: 3
File: 4
IP: 4
Soft:
Component Object Model, Microsoft Office, Windows registry
Algorithms:
aes
Languages:
powershell, visual_basic
18-04-2025
New Wave of Cyberattacks by APT Group Cloud Atlas on Russian Public Sector
https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/novaya-volna-kiberatak-apt-gruppirovki-cloud-atlas-na-gosudarstvennyj-sektor-rossii
Report completeness: High
Actors/Campaigns:
Cloudatlas
Threats:
Powershower_tool
Vbshower_tool
Spear-phishing_technique
Dll_sideloading_technique
Bec_technique
Rtcpproxy_tool
Victims:
Russian government agencies, Russian defense industry enterprise, Enterprises of the russian military-industrial complex, Russian public sector, Previously infected institutions and enterprises
Industry:
Military, Government
Geo:
Azerbaijan, Belarus, Russian, Slovenia, Turkey, Russia
TTPs:
Tactics: 9
Technics: 34
IOCs:
Hash: 18
Domain: 4
Registry: 3
File: 4
IP: 4
Soft:
Component Object Model, Microsoft Office, Windows registry
Algorithms:
aes
Languages:
powershell, visual_basic
ptsecurity.com
Блог PT ESC Threat Intelligence
В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах.
CTT Report Hub
#ParsedReport #CompletenessHigh 18-04-2025 New Wave of Cyberattacks by APT Group Cloud Atlas on Russian Public Sector https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/novaya-volna-kiberatak-apt-gruppirovki-cloud-atlas-na-gosudarstvennyj…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа разработчиков Cloud Atlas APT нацелена на российские сети государственного сектора, используя украденные шаблоны Microsoft Office для создания необнаруживаемых вредоносных документов для BEC-атак. Их изощренные методы включают удаление метаданных и скрытую инфраструктуру управления документами, что указывает на растущую угрозу военно-промышленному сектору.
-----
Группа Cloud Atlas APT в последнее время активизировала свои кибератаки, в частности, на российские сети государственного сектора и предприятия военно-промышленного комплекса. Эта группа использует сложные методы, в том числе создает собственные вредоносные файлы на основе украденных шаблонов Microsoft Office, чтобы избежать обнаружения. Из этих документов удалены метаданные, чтобы скрыть их происхождение и снизить вероятность выявления ранее скомпрометированных организаций. Cloud Atlas group использует скомпрометированные учетные записи электронной почты для проведения атак на коммерческую электронную почту (BEC), что позволяет обмениваться данными между зараженными предприятиями и их филиалами.
В ноябре 2024 года российское правительственное учреждение привлекло группу реагирования на инциденты для устранения кибератаки, которая привела к выявлению вредоносной инфраструктуры Cloud Atlas. Средства киберразведки обнаружили активную атаку, когда было подтверждено, что вредоносный документ инициирует подключение к командному центру группы. Время для атаки, которая произошла в конце рабочей недели, вероятно, было выбрано таким образом, чтобы использовать периоды снижения бдительности сотрудников и обеспечить злоумышленникам беспрепятственный доступ в выходные дни.
Последующий анализ показал, что встроенная инфраструктура контроля в этих вредоносных документах последовательно следовала шаблону — информация была скрыта в потоке "1Table" в файлах Microsoft Office. В январе 2025 года была выявлена еще одна атака, в ходе которой аналогичный вредоносный документ был отправлен на российское оборонное предприятие, что указывает на постоянную нацеленность группировки на этот сектор. Примечательно, что инфраструктура злоумышленников отличалась высокой степенью изощренности, включая сервер IMAP, активированный для рассылки вредоносной электронной почты, использующий шифрование TLS для уклонения от мониторинга.
Проверка вредоносных документов, использованных Cloud Atlas, показала, что они содержат различные профессиональные и правительственные материалы, которые могут легко ввести в заблуждение получателей. Среди них были приглашения на учебные курсы и документы, касающиеся борьбы с коррупцией. Детальное расследование выявило многочисленные признаки, свидетельствующие о том, что эти документы были созданы на основе закрытых правительственных материалов, в которые были внесены изменения, чтобы избежать раскрытия информации после реальных попыток кибератак. Аналогичным образом, многие документы были помечены устаревшими датами и вымышленными событиями, что повысило доверие к официальным сообщениям.
С 2019 года Positive Technologies проводит мониторинг Cloud Atlas, отмечая значительный сдвиг в фокусе внимания группы в сторону России с 2024 года, что указывает на растущий уровень угрозы. Их постоянная бдительность и своевременные предупреждения о надвигающихся хакерских атаках подчеркивают меняющиеся стратегии группы и высокий риск, который они представляют для российских учреждений. Вероятность дальнейших атак остается значительной, о чем свидетельствует регистрация новых сертификатов TLS для вредоносной инфраструктуры, что говорит о том, что Cloud Atlas продолжает совершенствовать и адаптировать свои методы для будущих кампаний.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа разработчиков Cloud Atlas APT нацелена на российские сети государственного сектора, используя украденные шаблоны Microsoft Office для создания необнаруживаемых вредоносных документов для BEC-атак. Их изощренные методы включают удаление метаданных и скрытую инфраструктуру управления документами, что указывает на растущую угрозу военно-промышленному сектору.
-----
Группа Cloud Atlas APT в последнее время активизировала свои кибератаки, в частности, на российские сети государственного сектора и предприятия военно-промышленного комплекса. Эта группа использует сложные методы, в том числе создает собственные вредоносные файлы на основе украденных шаблонов Microsoft Office, чтобы избежать обнаружения. Из этих документов удалены метаданные, чтобы скрыть их происхождение и снизить вероятность выявления ранее скомпрометированных организаций. Cloud Atlas group использует скомпрометированные учетные записи электронной почты для проведения атак на коммерческую электронную почту (BEC), что позволяет обмениваться данными между зараженными предприятиями и их филиалами.
В ноябре 2024 года российское правительственное учреждение привлекло группу реагирования на инциденты для устранения кибератаки, которая привела к выявлению вредоносной инфраструктуры Cloud Atlas. Средства киберразведки обнаружили активную атаку, когда было подтверждено, что вредоносный документ инициирует подключение к командному центру группы. Время для атаки, которая произошла в конце рабочей недели, вероятно, было выбрано таким образом, чтобы использовать периоды снижения бдительности сотрудников и обеспечить злоумышленникам беспрепятственный доступ в выходные дни.
Последующий анализ показал, что встроенная инфраструктура контроля в этих вредоносных документах последовательно следовала шаблону — информация была скрыта в потоке "1Table" в файлах Microsoft Office. В январе 2025 года была выявлена еще одна атака, в ходе которой аналогичный вредоносный документ был отправлен на российское оборонное предприятие, что указывает на постоянную нацеленность группировки на этот сектор. Примечательно, что инфраструктура злоумышленников отличалась высокой степенью изощренности, включая сервер IMAP, активированный для рассылки вредоносной электронной почты, использующий шифрование TLS для уклонения от мониторинга.
Проверка вредоносных документов, использованных Cloud Atlas, показала, что они содержат различные профессиональные и правительственные материалы, которые могут легко ввести в заблуждение получателей. Среди них были приглашения на учебные курсы и документы, касающиеся борьбы с коррупцией. Детальное расследование выявило многочисленные признаки, свидетельствующие о том, что эти документы были созданы на основе закрытых правительственных материалов, в которые были внесены изменения, чтобы избежать раскрытия информации после реальных попыток кибератак. Аналогичным образом, многие документы были помечены устаревшими датами и вымышленными событиями, что повысило доверие к официальным сообщениям.
С 2019 года Positive Technologies проводит мониторинг Cloud Atlas, отмечая значительный сдвиг в фокусе внимания группы в сторону России с 2024 года, что указывает на растущий уровень угрозы. Их постоянная бдительность и своевременные предупреждения о надвигающихся хакерских атаках подчеркивают меняющиеся стратегии группы и высокий риск, который они представляют для российских учреждений. Вероятность дальнейших атак остается значительной, о чем свидетельствует регистрация новых сертификатов TLS для вредоносной инфраструктуры, что говорит о том, что Cloud Atlas продолжает совершенствовать и адаптировать свои методы для будущих кампаний.
#ParsedReport #CompletenessHigh
18-04-2025
Team46 and TaxOff: Two Sides of the Same Coin
https://ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/team46-i-taxoff-dve-storony-odnoi-medali/
Report completeness: High
Actors/Campaigns:
Team46
Taxoff
Threats:
Trinper
Spear-phishing_technique
Donut
Process_injection_technique
Cobalt_strike
Process_hollowing_technique
Domain_fronting_technique
Dll_hijacking_technique
Siggen
Reflectiveloader
CVEs:
CVE-2024-6473 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- yandex yandex browser (<24.7.1.380)
CVE-2025-2783 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<134.0.6998.177)
TTPs:
Tactics: 10
Technics: 26
IOCs:
IP: 1
Url: 6
File: 11
Command: 2
Path: 1
Hash: 12
Soft:
Chrome, Yandex Browser
Algorithms:
chacha20, sha256, base64, zip, aes, aes-256
Win API:
GetSystemFirmwareTable, NtQueueApcThread, WTSQuerySessionInformationW
Languages:
powershell, php
Platforms:
x64
Links:
18-04-2025
Team46 and TaxOff: Two Sides of the Same Coin
https://ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/team46-i-taxoff-dve-storony-odnoi-medali/
Report completeness: High
Actors/Campaigns:
Team46
Taxoff
Threats:
Trinper
Spear-phishing_technique
Donut
Process_injection_technique
Cobalt_strike
Process_hollowing_technique
Domain_fronting_technique
Dll_hijacking_technique
Siggen
Reflectiveloader
CVEs:
CVE-2024-6473 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- yandex yandex browser (<24.7.1.380)
CVE-2025-2783 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<134.0.6998.177)
TTPs:
Tactics: 10
Technics: 26
IOCs:
IP: 1
Url: 6
File: 11
Command: 2
Path: 1
Hash: 12
Soft:
Chrome, Yandex Browser
Algorithms:
chacha20, sha256, base64, zip, aes, aes-256
Win API:
GetSystemFirmwareTable, NtQueueApcThread, WTSQuerySessionInformationW
Languages:
powershell, php
Platforms:
x64
Links:
https://github.com/TheWover/donutptsecurity.com
Team46 и TaxOff: две стороны одной медали
В марте 2025 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) исследовали атаку, в которой использовалась зарегистрированная примерно в это же время уязвимость нулевого дня CVE-2025…
CTT Report Hub
#ParsedReport #CompletenessHigh 18-04-2025 Team46 and TaxOff: Two Sides of the Same Coin https://ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/team46-i-taxoff-dve-storony-odnoi-medali/ Report completeness: High Actors/Campaigns: Team46 Taxoff…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В марте 2025 года TaxOff group осуществила сложную кибератаку, используя уязвимость нулевого дня CVE-2025-2783 в Chrome, чтобы установить бэкдор Trinper с помощью фишинга. Эта атака имела сходство с предыдущими инцидентами Team46, включая использование сценария Powershell для первоначального заражения и общие соглашения об именах, что указывает на связь между двумя группами. Их вредоносное ПО использует передовые методы шифрования и нацелено на долгосрочный доступ к защищенным средам, что указывает на значительную угрозу.
-----
В марте 2025 года в ходе сложной кибератаки, приписываемой TaxOff group, была использована уязвимость нулевого дня CVE-2025-2783, которая затрагивает браузер Chrome, позволяя выйти из "песочницы". Этот эксплойт был внедрен с помощью фишингового электронного письма, содержащего ссылку на вредоносный форум, что привело к установке бэкдора Trinper. Злоумышленники использовали типичную структуру управления, которая использовалась в предыдущих инцидентах с Team46, что указывает на возможную связь между Team46 и TaxOff.
Анализ последовательности атак показал, что первоначальным источником заражения был сценарий Powershell, активированный с помощью события, инициированного пользователем. Ссылки на электронную почту и документы, представленные в ходе атаки, содержали те же правила именования, что и в предыдущих инцидентах, связанных с Team46, что подтверждает идею общей операционной методологии.
В ходе более ранней атаки, проведенной в октябре 2024 года, было отмечено использование браузера Yandex для выполнения вредоносной полезной нагрузки, в которой использовался метод перехвата библиотек DLL, нацеленный на компонент rdpclip.exe. Эта среда использовалась для управления операциями с использованием бэкдора Trinper, который связывался с командным сервером по адресу common-rdp-front.global.ssl.fastly.net. Кроме того, при других атаках использовались вводящие в заблуждение имена файлов и команды, характерные для Team46, что указывало на постоянную схему работы.
Архитектура вредоносного ПО имеет сходство; обе группы реализовали функции для расшифровки полезной нагрузки на основе UUID встроенного ПО зараженной системы - метод, который не только настраивает вредоносное ПО для каждой цели, но и потенциально ограничивает усилия криминалистов. Были использованы различные методы шифрования и хеширования, такие как модифицированные алгоритмы ChaCha20 и BLAKE2, что еще раз иллюстрирует их возможности в разработке специально разработанного вредоносного программного обеспечения.
Совокупные данные свидетельствуют о том, что Team46 и TaxOff, скорее всего, являются компонентами одной и той же APT-группы, что подтверждает их название как Team46. Такие характеристики, как использование эксплойтов нулевого дня и развертывание сложных вредоносных программ, демонстрируют стратегический подход, направленный на проникновение в защищенные среды и сохранение долгосрочного доступа к скомпрометированным системам. Настойчивость и изощренность их тактики подтверждают, что эти хакеры представляют существенный риск для целевой инфраструктуры.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В марте 2025 года TaxOff group осуществила сложную кибератаку, используя уязвимость нулевого дня CVE-2025-2783 в Chrome, чтобы установить бэкдор Trinper с помощью фишинга. Эта атака имела сходство с предыдущими инцидентами Team46, включая использование сценария Powershell для первоначального заражения и общие соглашения об именах, что указывает на связь между двумя группами. Их вредоносное ПО использует передовые методы шифрования и нацелено на долгосрочный доступ к защищенным средам, что указывает на значительную угрозу.
-----
В марте 2025 года в ходе сложной кибератаки, приписываемой TaxOff group, была использована уязвимость нулевого дня CVE-2025-2783, которая затрагивает браузер Chrome, позволяя выйти из "песочницы". Этот эксплойт был внедрен с помощью фишингового электронного письма, содержащего ссылку на вредоносный форум, что привело к установке бэкдора Trinper. Злоумышленники использовали типичную структуру управления, которая использовалась в предыдущих инцидентах с Team46, что указывает на возможную связь между Team46 и TaxOff.
Анализ последовательности атак показал, что первоначальным источником заражения был сценарий Powershell, активированный с помощью события, инициированного пользователем. Ссылки на электронную почту и документы, представленные в ходе атаки, содержали те же правила именования, что и в предыдущих инцидентах, связанных с Team46, что подтверждает идею общей операционной методологии.
В ходе более ранней атаки, проведенной в октябре 2024 года, было отмечено использование браузера Yandex для выполнения вредоносной полезной нагрузки, в которой использовался метод перехвата библиотек DLL, нацеленный на компонент rdpclip.exe. Эта среда использовалась для управления операциями с использованием бэкдора Trinper, который связывался с командным сервером по адресу common-rdp-front.global.ssl.fastly.net. Кроме того, при других атаках использовались вводящие в заблуждение имена файлов и команды, характерные для Team46, что указывало на постоянную схему работы.
Архитектура вредоносного ПО имеет сходство; обе группы реализовали функции для расшифровки полезной нагрузки на основе UUID встроенного ПО зараженной системы - метод, который не только настраивает вредоносное ПО для каждой цели, но и потенциально ограничивает усилия криминалистов. Были использованы различные методы шифрования и хеширования, такие как модифицированные алгоритмы ChaCha20 и BLAKE2, что еще раз иллюстрирует их возможности в разработке специально разработанного вредоносного программного обеспечения.
Совокупные данные свидетельствуют о том, что Team46 и TaxOff, скорее всего, являются компонентами одной и той же APT-группы, что подтверждает их название как Team46. Такие характеристики, как использование эксплойтов нулевого дня и развертывание сложных вредоносных программ, демонстрируют стратегический подход, направленный на проникновение в защищенные среды и сохранение долгосрочного доступа к скомпрометированным системам. Настойчивость и изощренность их тактики подтверждают, что эти хакеры представляют существенный риск для целевой инфраструктуры.
#ParsedReport #CompletenessHigh
19-04-2025
Dark Web Profile: Flax Typhoon - SOCRadar Cyber Intelligence Inc.
https://socradar.io/dark-web-profile-flax-typhoon/
Report completeness: High
Actors/Campaigns:
Flax_typhoon (motivation: cyber_espionage)
Threats:
Acunetix_tool
Chinachopper
Devilzshell
Antsword
Raptor_train
Passthehash_technique
Credential_dumping_technique
Juicypotato_tool
Badpotato_tool
Bitsadmin_tool
Mimikatz_tool
Mirai
Victims:
Government agencies, Educational institutions, Critical manufacturing facilities, Information technology organizations, Government, Education, Technology, Diplomatic, Telecommunications
Industry:
Government, Education, Telco, Iot
Geo:
Korea, Chinese, African, Kenya, Australia, Hong kong, Africa, Malaysia, Taiwanese, Asia, Rwanda, Laos, Djibouti, America, Taiwan, China
TTPs:
Tactics: 9
Technics: 16
IOCs:
File: 4
Domain: 1
Soft:
SoftEther, Windows Service, Windows Terminal, Local Security Authority
Algorithms:
exhibit
Languages:
java, powershell
19-04-2025
Dark Web Profile: Flax Typhoon - SOCRadar Cyber Intelligence Inc.
https://socradar.io/dark-web-profile-flax-typhoon/
Report completeness: High
Actors/Campaigns:
Flax_typhoon (motivation: cyber_espionage)
Threats:
Acunetix_tool
Chinachopper
Devilzshell
Antsword
Raptor_train
Passthehash_technique
Credential_dumping_technique
Juicypotato_tool
Badpotato_tool
Bitsadmin_tool
Mimikatz_tool
Mirai
Victims:
Government agencies, Educational institutions, Critical manufacturing facilities, Information technology organizations, Government, Education, Technology, Diplomatic, Telecommunications
Industry:
Government, Education, Telco, Iot
Geo:
Korea, Chinese, African, Kenya, Australia, Hong kong, Africa, Malaysia, Taiwanese, Asia, Rwanda, Laos, Djibouti, America, Taiwan, China
TTPs:
Tactics: 9
Technics: 16
IOCs:
File: 4
Domain: 1
Soft:
SoftEther, Windows Service, Windows Terminal, Local Security Authority
Algorithms:
exhibit
Languages:
java, powershell
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: Flax Typhoon - SOCRadar® Cyber Intelligence Inc.
Intelligence reports confirm that Flax Typhoon (also tracked as RedJuliett and Ethereal Panda) is a sophisticated Chinese state-sponsored Advanced Persistent
#ParsedReport #CompletenessMedium
19-04-2025
Billbug: Intrusion Campaign Against Southeast Asia Continues
https://www.security.com/threat-intelligence/billbug-china-espionage
Report completeness: Medium
Actors/Campaigns:
Dragonfish (motivation: cyber_espionage)
Threats:
Dll_sideloading_technique
Sagerunex
Chromekatz_tool
Credentialkatz_tool
Spear-phishing_technique
Elise
Hannotog
Victims:
Government ministry, Air traffic control organization, Telecoms operator, Construction company, News agency, Air freight organization, Digital certificate authority
Industry:
Military, Government, Maritime, Education, Telco
Geo:
Philippines, Hong kong, Asian, Vietnam, Asia, China, Indonesia, Macau, Chinese, Malaysia
ChatGPT TTPs:
T1553.002, T1574.002, T1055.001, T1078, T1105, T1204.002
IOCs:
File: 10
Hash: 11
Path: 3
Soft:
Twitter, Chrome, PsExec
Algorithms:
sha256
Links:
19-04-2025
Billbug: Intrusion Campaign Against Southeast Asia Continues
https://www.security.com/threat-intelligence/billbug-china-espionage
Report completeness: Medium
Actors/Campaigns:
Dragonfish (motivation: cyber_espionage)
Threats:
Dll_sideloading_technique
Sagerunex
Chromekatz_tool
Credentialkatz_tool
Spear-phishing_technique
Elise
Hannotog
Victims:
Government ministry, Air traffic control organization, Telecoms operator, Construction company, News agency, Air freight organization, Digital certificate authority
Industry:
Military, Government, Maritime, Education, Telco
Geo:
Philippines, Hong kong, Asian, Vietnam, Asia, China, Indonesia, Macau, Chinese, Malaysia
ChatGPT TTPs:
do not use without manual checkT1553.002, T1574.002, T1055.001, T1078, T1105, T1204.002
IOCs:
File: 10
Hash: 11
Path: 3
Soft:
Twitter, Chrome, PsExec
Algorithms:
sha256
Links:
https://github.com/openziti/zrok
CTT Report Hub
#ParsedReport #CompletenessMedium 19-04-2025 Billbug: Intrusion Campaign Against Southeast Asia Continues https://www.security.com/threat-intelligence/billbug-china-espionage Report completeness: Medium Actors/Campaigns: Dragonfish (motivation: cyber_espionage)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Шпионская группа Billbug с августа 2024 по февраль 2025 года проводила сложные киберкампании, нацеленные на организации в Юго-Восточной Азии, используя специальные инструменты для атак с боковой загрузкой библиотек DLL и кражи учетных данных, используя законное программное обеспечение, чтобы избежать обнаружения. В ходе своей работы они использовали новую версию бэкдора Sagerunex для повышения надежности и продемонстрировали передовые методы, такие как загрузка вредоносных библиотек DLL с помощью законных исполняемых файлов. Billbug прошел путь от фишинга до сложных вторжений в правительственные и военные объекты, что создает значительные риски для кибербезопасности.
-----
Шпионская группа Billbug (также известная как Lotus Blossom или Bronze Elgin) с августа 2024 по февраль 2025 года провела серию кампаний по проникновению в различные организации в одной из стран Юго-Восточной Азии. Среди пострадавших организаций были правительственное министерство, организация по управлению воздушным движением, оператор связи и строительная компания. Кроме того, были совершены нападения на информационное агентство и организацию по авиаперевозкам в соседних странах. В ходе операций использовался целый ряд недавно разработанных пользовательских инструментов, включая загрузчики, устройства для кражи учетных данных и инструмент обратного SSH, что свидетельствует о высоком уровне кибервозможностей.
Атаки характеризовались использованием легального программного обеспечения в качестве средства для выполнения вредоносного кода с помощью метода, известного как дополнительная загрузка библиотек DLL. Примечательно, что было обнаружено, что исполняемый файл Trend Micro с именем "tmdbglog.exe` загружал вредоносную библиотеку DLL `tmdglog.dll", которая выполняла функцию загрузчика для чтения и выполнения содержимого из файла журнала. Другой исполняемый файл, "bds.exe` от Bitdefender, использовался для загрузки `log.dll", который аналогичным образом считывал данные конфигурации и вводил расшифрованный контент в другие процессы. Этот метод демонстрирует способность группы использовать доверенное программное обеспечение для обхода механизмов обнаружения.
Кроме того, группа представила новую версию бэкдора Sagerunex, эксклюзивного инструмента для Billbug, который известен тем, что обеспечивает постоянство с помощью изменений в реестре, которые позволяют ему работать как сервису. Кроме того, злоумышленники внедрили новые инструменты, специально предназначенные для кражи учетных данных из веб-браузера Chrome, включая ChromeKatz и CredentialKatz.
Billbug действует по меньшей мере с 2009 года, уделяя особое внимание нападениям на правительства и военные структуры Юго-Восточной Азии. Его операции демонстрируют растущую изощренность, переходя от тактики скрытого фишинга с использованием пользовательского троянца Trensil к сложным многоплановым кампаниям с использованием различных бэкдоров, выявленных с течением времени, включая Hannotog и ранее упомянутый Sagerunex. Действия группы в 2022 году против центра сертификации цифровых данных свидетельствуют о его потенциальной возможности скомпрометировать инфраструктуру безопасности, создавая значительные риски из-за несанкционированного доступа к сертификатам, который может облегчить управление сигнатурами вредоносных программ и перехват HTTPS-трафика.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Шпионская группа Billbug с августа 2024 по февраль 2025 года проводила сложные киберкампании, нацеленные на организации в Юго-Восточной Азии, используя специальные инструменты для атак с боковой загрузкой библиотек DLL и кражи учетных данных, используя законное программное обеспечение, чтобы избежать обнаружения. В ходе своей работы они использовали новую версию бэкдора Sagerunex для повышения надежности и продемонстрировали передовые методы, такие как загрузка вредоносных библиотек DLL с помощью законных исполняемых файлов. Billbug прошел путь от фишинга до сложных вторжений в правительственные и военные объекты, что создает значительные риски для кибербезопасности.
-----
Шпионская группа Billbug (также известная как Lotus Blossom или Bronze Elgin) с августа 2024 по февраль 2025 года провела серию кампаний по проникновению в различные организации в одной из стран Юго-Восточной Азии. Среди пострадавших организаций были правительственное министерство, организация по управлению воздушным движением, оператор связи и строительная компания. Кроме того, были совершены нападения на информационное агентство и организацию по авиаперевозкам в соседних странах. В ходе операций использовался целый ряд недавно разработанных пользовательских инструментов, включая загрузчики, устройства для кражи учетных данных и инструмент обратного SSH, что свидетельствует о высоком уровне кибервозможностей.
Атаки характеризовались использованием легального программного обеспечения в качестве средства для выполнения вредоносного кода с помощью метода, известного как дополнительная загрузка библиотек DLL. Примечательно, что было обнаружено, что исполняемый файл Trend Micro с именем "tmdbglog.exe` загружал вредоносную библиотеку DLL `tmdglog.dll", которая выполняла функцию загрузчика для чтения и выполнения содержимого из файла журнала. Другой исполняемый файл, "bds.exe` от Bitdefender, использовался для загрузки `log.dll", который аналогичным образом считывал данные конфигурации и вводил расшифрованный контент в другие процессы. Этот метод демонстрирует способность группы использовать доверенное программное обеспечение для обхода механизмов обнаружения.
Кроме того, группа представила новую версию бэкдора Sagerunex, эксклюзивного инструмента для Billbug, который известен тем, что обеспечивает постоянство с помощью изменений в реестре, которые позволяют ему работать как сервису. Кроме того, злоумышленники внедрили новые инструменты, специально предназначенные для кражи учетных данных из веб-браузера Chrome, включая ChromeKatz и CredentialKatz.
Billbug действует по меньшей мере с 2009 года, уделяя особое внимание нападениям на правительства и военные структуры Юго-Восточной Азии. Его операции демонстрируют растущую изощренность, переходя от тактики скрытого фишинга с использованием пользовательского троянца Trensil к сложным многоплановым кампаниям с использованием различных бэкдоров, выявленных с течением времени, включая Hannotog и ранее упомянутый Sagerunex. Действия группы в 2022 году против центра сертификации цифровых данных свидетельствуют о его потенциальной возможности скомпрометировать инфраструктуру безопасности, создавая значительные риски из-за несанкционированного доступа к сертификатам, который может облегчить управление сигнатурами вредоносных программ и перехват HTTPS-трафика.
#ParsedReport #CompletenessLow
20-04-2025
Python Backdoor Uploaded from Taiwan
https://dmpdump.github.io/posts/Python_Backdoor_TW/
Report completeness: Low
Threats:
Gh0st_rat
Geo:
Taiwan
ChatGPT TTPs:
T1204.002, T1105, T1059.005, T1059.006, T1071.001, T1027, T1053.005
IOCs:
File: 8
Hash: 3
Path: 2
Domain: 2
Url: 4
Command: 1
Soft:
curl
Algorithms:
base64, deflate, zip, gzip
Functions:
mythread, TaskMachineCore
Win API:
decompress
Languages:
visual_basic, python, lua
Platforms:
x64
Links:
20-04-2025
Python Backdoor Uploaded from Taiwan
https://dmpdump.github.io/posts/Python_Backdoor_TW/
Report completeness: Low
Threats:
Gh0st_rat
Geo:
Taiwan
ChatGPT TTPs:
do not use without manual checkT1204.002, T1105, T1059.005, T1059.006, T1071.001, T1027, T1053.005
IOCs:
File: 8
Hash: 3
Path: 2
Domain: 2
Url: 4
Command: 1
Soft:
curl
Algorithms:
base64, deflate, zip, gzip
Functions:
mythread, TaskMachineCore
Win API:
decompress
Languages:
visual_basic, python, lua
Platforms:
x64
Links:
https://github.com/dmpdumpdmpdump
Python Backdoor Uploaded from Taiwan
On April 18, 2025, I came across an interesting LNK file uploaded from Taiwan (f4bb263eb03240c1d779a00e1e39d3374c93d909d358691ca5386387d06be472), which I subsequently found had been initially discovered by @NtAlertThread. Props to him for the discovery. The…
CTT Report Hub
#ParsedReport #CompletenessLow 20-04-2025 Python Backdoor Uploaded from Taiwan https://dmpdump.github.io/posts/Python_Backdoor_TW/ Report completeness: Low Threats: Gh0st_rat Geo: Taiwan ChatGPT TTPs: do not use without manual check T1204.002, T1105…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносный файл LNK из Тайваня используется в качестве загрузчика для программы установки setup.exe, связанной с Gh0stRAT, и предназначенной для пользователей, говорящих на китайском языке. После выполнения он создает бэкдор с помощью скрипта на Python, который взаимодействует с удаленным сервером C2, обеспечивая постоянство за счет изменения интервалов ожидания и установки сценария мониторинга VBS.
-----
18 апреля 2025 года был обнаружен подозрительный LNK-файл с именем 2025416-1-.pdf.lnk, отправленный из Тайваня. Этот файл работает как curl-загрузчик, предназначенный для загрузки исполняемого файла второго уровня. Исполняемый файл, обозначенный как setup.exe, извлекается из mail.9kyd.com/skins и помещается в каталог C:\Users\Public\Downloads. Примечательно, что ранее этот установщик был связан с образцами Gh0stRAT, которые обычно предназначены для пользователей, говорящих на китайском языке. Он создан с использованием Indigo Rose Software Setup Factory, инструмента, который позволяет использовать Lua-скрипты для определения процесса установки.
После выполнения программа установки помещает файлы в папку C:\Users\%USER%\AppData\Roaming\AcrobatReader\. Среди этих файлов она устанавливает среду выполнения Python и обманчивый PDF-файл с именем document.pdf, содержимое которого невозможно прочитать. Одновременно выполняется скрипт на Python, известный как setup.py. Этот скрипт функционирует как бэкдор, который использует сотрудников Cloudflare для выполнения операций командования и контроля (C2).
Бэкдор работает в непрерывном цикле, периодически вызывая поток, который выполняет функцию mythread() для связи с сервером C2, расположенным по адресу eip.netask.workers.dev. Он проверяет ответы от сервера, чтобы определить, сжаты ли они в формате GZIP, если да, то распаковывает их и преобразует в кодировку UTF-8. Когда ответ превышает два символа, скрипт base64 повторно декодирует его и выполняет полезную нагрузку, игнорируя начальные два символа.
Первая полученная полезная нагрузка - это скрипт на Python, который генерирует скрипт сохранения Visual Basic с именем start.vbs. Этот скрипт отслеживает активные процессы, и если python.exe запущен, он завершает работу без каких-либо действий. И наоборот, если python.exe не обнаружен, он повторно активирует бэкдор setup.py. Кроме того, он устанавливает запланированную задачу с именем TaskMachineCore, которая запрограммирована на выполнение сценария start.vbs каждые 10 минут. Вторая полезная нагрузка изменяет продолжительность ожидания бэкдора, изменяя переменную estimates, увеличивая паузу по умолчанию с 60 секунд до 3600 секунд (один час). Это указывает на сложный метод обеспечения устойчивости и эффективного управления скомпрометированной системой.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносный файл LNK из Тайваня используется в качестве загрузчика для программы установки setup.exe, связанной с Gh0stRAT, и предназначенной для пользователей, говорящих на китайском языке. После выполнения он создает бэкдор с помощью скрипта на Python, который взаимодействует с удаленным сервером C2, обеспечивая постоянство за счет изменения интервалов ожидания и установки сценария мониторинга VBS.
-----
18 апреля 2025 года был обнаружен подозрительный LNK-файл с именем 2025416-1-.pdf.lnk, отправленный из Тайваня. Этот файл работает как curl-загрузчик, предназначенный для загрузки исполняемого файла второго уровня. Исполняемый файл, обозначенный как setup.exe, извлекается из mail.9kyd.com/skins и помещается в каталог C:\Users\Public\Downloads. Примечательно, что ранее этот установщик был связан с образцами Gh0stRAT, которые обычно предназначены для пользователей, говорящих на китайском языке. Он создан с использованием Indigo Rose Software Setup Factory, инструмента, который позволяет использовать Lua-скрипты для определения процесса установки.
После выполнения программа установки помещает файлы в папку C:\Users\%USER%\AppData\Roaming\AcrobatReader\. Среди этих файлов она устанавливает среду выполнения Python и обманчивый PDF-файл с именем document.pdf, содержимое которого невозможно прочитать. Одновременно выполняется скрипт на Python, известный как setup.py. Этот скрипт функционирует как бэкдор, который использует сотрудников Cloudflare для выполнения операций командования и контроля (C2).
Бэкдор работает в непрерывном цикле, периодически вызывая поток, который выполняет функцию mythread() для связи с сервером C2, расположенным по адресу eip.netask.workers.dev. Он проверяет ответы от сервера, чтобы определить, сжаты ли они в формате GZIP, если да, то распаковывает их и преобразует в кодировку UTF-8. Когда ответ превышает два символа, скрипт base64 повторно декодирует его и выполняет полезную нагрузку, игнорируя начальные два символа.
Первая полученная полезная нагрузка - это скрипт на Python, который генерирует скрипт сохранения Visual Basic с именем start.vbs. Этот скрипт отслеживает активные процессы, и если python.exe запущен, он завершает работу без каких-либо действий. И наоборот, если python.exe не обнаружен, он повторно активирует бэкдор setup.py. Кроме того, он устанавливает запланированную задачу с именем TaskMachineCore, которая запрограммирована на выполнение сценария start.vbs каждые 10 минут. Вторая полезная нагрузка изменяет продолжительность ожидания бэкдора, изменяя переменную estimates, увеличивая паузу по умолчанию с 60 секунд до 3600 секунд (один час). Это указывает на сложный метод обеспечения устойчивости и эффективного управления скомпрометированной системой.
#ParsedReport #CompletenessHigh
19-04-2025
Dark Web Profile: Flax Typhoon - SOCRadar Cyber Intelligence Inc.
https://socradar.io/dark-web-profile-flax-typhoon/
Report completeness: High
Actors/Campaigns:
Flax_typhoon (motivation: cyber_espionage)
Threats:
Acunetix_tool
Chinachopper
Devilzshell
Antsword
Raptor_train
Passthehash_technique
Credential_dumping_technique
Juicypotato_tool
Badpotato_tool
Bitsadmin_tool
Mimikatz_tool
Mirai
Victims:
Government agencies, Educational institutions, Critical manufacturing facilities, Information technology organizations, Government, Education, Technology, Diplomatic, Telecommunications
Industry:
Government, Education, Telco, Iot
Geo:
Korea, Chinese, African, Kenya, Australia, Hong kong, Africa, Malaysia, Taiwanese, Asia, Rwanda, Laos, Djibouti, America, Taiwan, China
TTPs:
Tactics: 9
Technics: 16
IOCs:
File: 4
Domain: 1
Soft:
SoftEther, Windows Service, Windows Terminal, Local Security Authority
Algorithms:
exhibit
Languages:
java, powershell
19-04-2025
Dark Web Profile: Flax Typhoon - SOCRadar Cyber Intelligence Inc.
https://socradar.io/dark-web-profile-flax-typhoon/
Report completeness: High
Actors/Campaigns:
Flax_typhoon (motivation: cyber_espionage)
Threats:
Acunetix_tool
Chinachopper
Devilzshell
Antsword
Raptor_train
Passthehash_technique
Credential_dumping_technique
Juicypotato_tool
Badpotato_tool
Bitsadmin_tool
Mimikatz_tool
Mirai
Victims:
Government agencies, Educational institutions, Critical manufacturing facilities, Information technology organizations, Government, Education, Technology, Diplomatic, Telecommunications
Industry:
Government, Education, Telco, Iot
Geo:
Korea, Chinese, African, Kenya, Australia, Hong kong, Africa, Malaysia, Taiwanese, Asia, Rwanda, Laos, Djibouti, America, Taiwan, China
TTPs:
Tactics: 9
Technics: 16
IOCs:
File: 4
Domain: 1
Soft:
SoftEther, Windows Service, Windows Terminal, Local Security Authority
Algorithms:
exhibit
Languages:
java, powershell
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: Flax Typhoon - SOCRadar® Cyber Intelligence Inc.
Intelligence reports confirm that Flax Typhoon (also tracked as RedJuliett and Ethereal Panda) is a sophisticated Chinese state-sponsored Advanced Persistent