#ParsedReport #CompletenessMedium
19-04-2025

Billbug: Intrusion Campaign Against Southeast Asia Continues

https://www.security.com/threat-intelligence/billbug-china-espionage

Report completeness: Medium

Actors/Campaigns:
Dragonfish (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique
Sagerunex
Chromekatz_tool
Credentialkatz_tool
Spear-phishing_technique
Elise
Hannotog

Victims:
Government ministry, Air traffic control organization, Telecoms operator, Construction company, News agency, Air freight organization, Digital certificate authority

Industry:
Military, Government, Maritime, Education, Telco

Geo:
Philippines, Hong kong, Asian, Vietnam, Asia, China, Indonesia, Macau, Chinese, Malaysia

ChatGPT TTPs:
do not use without manual check
T1553.002, T1574.002, T1055.001, T1078, T1105, T1204.002

IOCs:
File: 10
Hash: 11
Path: 3

Soft:
Twitter, Chrome, PsExec

Algorithms:
sha256

Links:
https://github.com/openziti/zrok

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Шпионская группа Billbug с августа 2024 по февраль 2025 года проводила сложные киберкампании, нацеленные на организации в Юго-Восточной Азии, используя специальные инструменты для атак с боковой загрузкой библиотек DLL и кражи учетных данных, используя законное программное обеспечение, чтобы избежать обнаружения. В ходе своей работы они использовали новую версию бэкдора Sagerunex для повышения надежности и продемонстрировали передовые методы, такие как загрузка вредоносных библиотек DLL с помощью законных исполняемых файлов. Billbug прошел путь от фишинга до сложных вторжений в правительственные и военные объекты, что создает значительные риски для кибербезопасности.
-----

Шпионская группа Billbug (также известная как Lotus Blossom или Bronze Elgin) с августа 2024 по февраль 2025 года провела серию кампаний по проникновению в различные организации в одной из стран Юго-Восточной Азии. Среди пострадавших организаций были правительственное министерство, организация по управлению воздушным движением, оператор связи и строительная компания. Кроме того, были совершены нападения на информационное агентство и организацию по авиаперевозкам в соседних странах. В ходе операций использовался целый ряд недавно разработанных пользовательских инструментов, включая загрузчики, устройства для кражи учетных данных и инструмент обратного SSH, что свидетельствует о высоком уровне кибервозможностей.

Атаки характеризовались использованием легального программного обеспечения в качестве средства для выполнения вредоносного кода с помощью метода, известного как дополнительная загрузка библиотек DLL. Примечательно, что было обнаружено, что исполняемый файл Trend Micro с именем "tmdbglog.exe` загружал вредоносную библиотеку DLL `tmdglog.dll", которая выполняла функцию загрузчика для чтения и выполнения содержимого из файла журнала. Другой исполняемый файл, "bds.exe` от Bitdefender, использовался для загрузки `log.dll", который аналогичным образом считывал данные конфигурации и вводил расшифрованный контент в другие процессы. Этот метод демонстрирует способность группы использовать доверенное программное обеспечение для обхода механизмов обнаружения.

Кроме того, группа представила новую версию бэкдора Sagerunex, эксклюзивного инструмента для Billbug, который известен тем, что обеспечивает постоянство с помощью изменений в реестре, которые позволяют ему работать как сервису. Кроме того, злоумышленники внедрили новые инструменты, специально предназначенные для кражи учетных данных из веб-браузера Chrome, включая ChromeKatz и CredentialKatz.

Billbug действует по меньшей мере с 2009 года, уделяя особое внимание нападениям на правительства и военные структуры Юго-Восточной Азии. Его операции демонстрируют растущую изощренность, переходя от тактики скрытого фишинга с использованием пользовательского троянца Trensil к сложным многоплановым кампаниям с использованием различных бэкдоров, выявленных с течением времени, включая Hannotog и ранее упомянутый Sagerunex. Действия группы в 2022 году против центра сертификации цифровых данных свидетельствуют о его потенциальной возможности скомпрометировать инфраструктуру безопасности, создавая значительные риски из-за несанкционированного доступа к сертификатам, который может облегчить управление сигнатурами вредоносных программ и перехват HTTPS-трафика.

#ParsedReport #ExtractedSchema

Classified images:
schema: 3

#ParsedReport #CompletenessLow
20-04-2025

Python Backdoor Uploaded from Taiwan

https://dmpdump.github.io/posts/Python_Backdoor_TW/

Report completeness: Low

Threats:
Gh0st_rat

Geo:
Taiwan

ChatGPT TTPs:
do not use without manual check
T1204.002, T1105, T1059.005, T1059.006, T1071.001, T1027, T1053.005

IOCs:
File: 8
Hash: 3
Path: 2
Domain: 2
Url: 4
Command: 1

Soft:
curl

Algorithms:
base64, deflate, zip, gzip

Functions:
mythread, TaskMachineCore

Win API:
decompress

Languages:
visual_basic, python, lua

Platforms:
x64

Links:
https://github.com/dmpdump

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный файл LNK из Тайваня используется в качестве загрузчика для программы установки setup.exe, связанной с Gh0stRAT, и предназначенной для пользователей, говорящих на китайском языке. После выполнения он создает бэкдор с помощью скрипта на Python, который взаимодействует с удаленным сервером C2, обеспечивая постоянство за счет изменения интервалов ожидания и установки сценария мониторинга VBS.
-----

18 апреля 2025 года был обнаружен подозрительный LNK-файл с именем 2025416-1-.pdf.lnk, отправленный из Тайваня. Этот файл работает как curl-загрузчик, предназначенный для загрузки исполняемого файла второго уровня. Исполняемый файл, обозначенный как setup.exe, извлекается из mail.9kyd.com/skins и помещается в каталог C:\Users\Public\Downloads. Примечательно, что ранее этот установщик был связан с образцами Gh0stRAT, которые обычно предназначены для пользователей, говорящих на китайском языке. Он создан с использованием Indigo Rose Software Setup Factory, инструмента, который позволяет использовать Lua-скрипты для определения процесса установки.

После выполнения программа установки помещает файлы в папку C:\Users\%USER%\AppData\Roaming\AcrobatReader\. Среди этих файлов она устанавливает среду выполнения Python и обманчивый PDF-файл с именем document.pdf, содержимое которого невозможно прочитать. Одновременно выполняется скрипт на Python, известный как setup.py. Этот скрипт функционирует как бэкдор, который использует сотрудников Cloudflare для выполнения операций командования и контроля (C2).

Бэкдор работает в непрерывном цикле, периодически вызывая поток, который выполняет функцию mythread() для связи с сервером C2, расположенным по адресу eip.netask.workers.dev. Он проверяет ответы от сервера, чтобы определить, сжаты ли они в формате GZIP, если да, то распаковывает их и преобразует в кодировку UTF-8. Когда ответ превышает два символа, скрипт base64 повторно декодирует его и выполняет полезную нагрузку, игнорируя начальные два символа.

Первая полученная полезная нагрузка - это скрипт на Python, который генерирует скрипт сохранения Visual Basic с именем start.vbs. Этот скрипт отслеживает активные процессы, и если python.exe запущен, он завершает работу без каких-либо действий. И наоборот, если python.exe не обнаружен, он повторно активирует бэкдор setup.py. Кроме того, он устанавливает запланированную задачу с именем TaskMachineCore, которая запрограммирована на выполнение сценария start.vbs каждые 10 минут. Вторая полезная нагрузка изменяет продолжительность ожидания бэкдора, изменяя переменную estimates, увеличивая паузу по умолчанию с 60 секунд до 3600 секунд (один час). Это указывает на сложный метод обеспечения устойчивости и эффективного управления скомпрометированной системой.

#ParsedReport #CompletenessHigh
19-04-2025

Dark Web Profile: Flax Typhoon - SOCRadar Cyber Intelligence Inc.

https://socradar.io/dark-web-profile-flax-typhoon/

Report completeness: High

Actors/Campaigns:
Flax_typhoon (motivation: cyber_espionage)

Threats:
Acunetix_tool
Chinachopper
Devilzshell
Antsword
Raptor_train
Passthehash_technique
Credential_dumping_technique
Juicypotato_tool
Badpotato_tool
Bitsadmin_tool
Mimikatz_tool
Mirai

Victims:
Government agencies, Educational institutions, Critical manufacturing facilities, Information technology organizations, Government, Education, Technology, Diplomatic, Telecommunications

Industry:
Government, Education, Telco, Iot

Geo:
Korea, Chinese, African, Kenya, Australia, Hong kong, Africa, Malaysia, Taiwanese, Asia, Rwanda, Laos, Djibouti, America, Taiwan, China

TTPs:
Tactics: 9
Technics: 16

IOCs:
File: 4
Domain: 1

Soft:
SoftEther, Windows Service, Windows Terminal, Local Security Authority

Algorithms:
exhibit

Languages:
java, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская APT-группа Flax Typhoon использует уязвимости серверов для целевых организаций, в основном на Тайване и в других регионах. Они используют веб-оболочки для удаленного выполнения, повышают привилегии с помощью таких инструментов, как Juicy Potato, и поддерживают постоянство с помощью SoftEther VPN. Их тактика заключается в краже хэшированных паролей и использовании крупной ботнета Raptor Train для скоординированных атак. Организациям следует улучшить управление исправлениями, внедрить многофакторную аутентификацию и использовать инструменты SIEM и EDR для лучшей защиты от подобных угроз.
-----

Flax Typhoon, также известная как RedJuliett и Ethereal Panda, представляет собой сложную китайскую государственную группу APT, которая в основном нацелена на тайваньские организации, но расширила свою деятельность на Северную Америку, Африку и Юго-Восточную Азию. Их методология атак часто начинается с использования общеизвестных уязвимостей в серверах, включая такие сервисы, как VPN, Java и веб-приложения. Группа использовала контролируемые хакерами VPN-серверы SoftEther, которые также были сконфигурированы как сканеры безопасности веб-приложений, для проведения разведки и запуска атак, главным образом, против таких секторов, как правительство, образование, технологии и телекоммуникации.

Получив доступ к целевой сети, Flax Typhoon использует веб—оболочки, включая China Chopper, devilzShell и AntSword, для упрощения удаленного выполнения кода с минимальными затратами. Когда для первоначального доступа не хватает прав локального администратора, группа использует инструменты с открытым исходным кодом, такие как Juicy Potato и BadPotato, для повышения привилегий путем использования дополнительных уязвимостей. Они обеспечивают постоянство с помощью различных средств, в частности, путем развертывания VPN-соединения, которое соединяет скомпрометированную систему со своей инфраструктурой, обеспечивая постоянный доступ к системе и ее мониторинг.

Для создания надежной инфраструктуры управления Flax Typhoon использует SoftEther VPN, часто маскируя свою деятельность, переименовывая исполняемые файлы, чтобы они напоминали законные процессы Windows, и используя VPN-over-HTTPS для маскировки трафика. Они осуществляют боковые перемещения по скомпрометированной сети, используя законные инструменты, такие как Windows Remote Management и WMIC, а также нацеливаются на критически важные процессы, такие как служба подсистемы локальной безопасности (LSASS), для извлечения хэшированных паролей пользователей, облегчая дальнейший доступ с помощью таких тактик, как передача хэша.

Кроме того, группа связана с ботнетом Raptor Train, управляемым Integrity Technology Group, который за короткий промежуток времени значительно расширился с 60 000 до более чем 260 000 устройств. Оперативная стратегия Raptor Train включает в себя методы скрытности, в первую очередь с использованием легального программного обеспечения для обеспечения устойчивости, а также развертывания специальной версии вредоносного ПО Mirai. Этот ботнет работает по всему миру и соответствует тактике, используемой Flax Typhoon, что подтверждает идею скоординированных усилий в кибершпионаже, спонсируемом государством.

Чтобы защититься от этих угроз, организациям рекомендуется поддерживать строгий контроль исправлений для общедоступных систем, применять многофакторную аутентификацию и применять принципы минимизации привилегий для предотвращения несанкционированного доступа. Крайне важен постоянный мониторинг внешних служб, а также отслеживание показателей после ввода в эксплуатацию, таких как веб-оболочки и боковые перемещения. Использование средств сбора информации о безопасности и управления событиями (SIEM) и обнаружения конечных точек и реагирования на них (EDR) может расширить возможности обнаружения и реагирования, в то время как сегментация сети может ограничить горизонтальное перемещение угроз в случае взлома.

#ParsedReport #CompletenessMedium
20-04-2025

KeyPlug-Linked Server Briefly Exposes Fortinet Exploits, Webshells, and Recon Activity Targeting a Major Japanese Company

https://hunt.io/blog/keyplug-server-exposes-fortinet-exploits-webshells

Report completeness: Medium

Actors/Campaigns:
Winnti

Threats:
Keyplug

Victims:
Major japanese company

Industry:
Healthcare

Geo:
Japanese, Singapore

CVEs:
CVE-2024-23108 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortisiem (le6.4.2, le6.5.2, le6.6.3, le6.7.8, le7.0.2)

CVE-2024-23109 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortisiem (le6.4.2, le6.5.2, le6.6.3, le6.7.8, le7.0.2)


ChatGPT TTPs:
do not use without manual check
T1190, T1059, T1018, T1573, T1213

IOCs:
IP: 8
Hash: 13
File: 9
Domain: 1

Soft:
Chrome, Node.js, Linux

Algorithms:
sha256, xor, aes-128, aes

Languages:
php, powershell, javascript, python

Platforms:
x64

Links:
https://github.com/dotnet/runtime/blob/main/docs/design/coreclr/botr/xplat-minidump-generation.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
На сервере, подключенном к вредоносному ПО KeyPlug, были обнаружены сценарии эксплойтов, нацеленные на уязвимости Fortinet (CVE-2024-23108, CVE-2024-23109), вредоносный файл ELF от RedGolf group и сценарии сетевой разведки. Также была обнаружена пользовательская обратная оболочка PowerShell, указывающая на сложные методы атаки и активное использование систем Fortinet.
-----

Недавно обнаруженный сервер, связанный с вредоносным ПО KeyPlug, раскрыл важные технические подробности о текущих кибероперациях, направленных против крупной японской компании. Сервер, который был активен менее 24 часов, содержал сценарии эксплойтов, нацеленные на уязвимости брандмауэра Fortinet и VPN, а также веб-оболочку на базе PHP, способную выполнять полезную нагрузку, зашифрованную с помощью AES и XOR. Кроме того, были определены сценарии сетевой разведки, специально разработанные для проверки подлинности и внутренних конфигураций портала.

Примечательно, что открытая инфраструктура содержала скрипты, предназначенные для устройств Fortinet, способные идентифицировать порталы для входа в систему в режиме реального времени и извлекать значения хэша JavaScript, привязанные к конкретным версиям устройств. Эти данные жизненно важны для определения совместимости эксплойтов. Особое внимание уделяется мерам безопасности для интерфейсов Fortinet SSL VPN, в частности обеспечению их обновления до поддерживаемых версий и мониторингу необычных схем доступа к конечным точкам входа.

Также был обнаружен вредоносный файл ELF, связанный с хакерской группой RedGolf, который частично совпадает с APT41 и демонстрирует функциональность бэкдора. Этот образец ELF продемонстрировал периодическую активность, типичную для операций, связанных с RedGolf, что свидетельствует о тактическом подходе, позволяющем избежать обнаружения. Инфраструктура включала дополнительные домены, связанные со службами аутентификации, такими как Okta и Keycloak, что указывает на необходимость доступа к порталам и внутренним системам, связанным с сотрудниками.

Дальнейшее изучение скриптов, связанных с подключением ключей, выявило механизмы использования уязвимостей в конечных точках CLI на базе WebSocket от Fortinet, в частности, CVE-2024-23108 и CVE-2024-23109. Скрипты, используемые для автоматизации атак на FortiOS версий с 7.0.0 по 7.0.15, имитируют локальный доступ к привилегированным командам с целью обхода аутентификации с помощью специально созданных запросов.

Кроме того, в содержимом сервера была обнаружена пользовательская обратная оболочка, написанная на PowerShell, что облегчило подключение к отслеживаемому IP-адресу по протоколу TCP. Обратная оболочка использовала шифрование AES-128 для связи и демонстрировала взаимодействия, зафиксированные в журнале истории команд, что указывало на активное использование системы жертвы.

Таким образом, краткий обзор этого сервера, связанного с KeyPlug и хакерской группой RedGolf, выявил сложные методы атаки, включая использование специфических уязвимостей в системах Fortinet, использование разведывательных скриптов и внедрение вредоносных программ-бэкдоров. Эти результаты подчеркивают важность оперативного мониторинга и принятия ответных мер для организаций, особенно тех, у которых инфраструктура Fortinet подключена к Интернету.

#ParsedReport #CompletenessLow
20-04-2025

Server-Side Phishing: How Credential Theft Campaigns Are Hiding in Plain Sight

https://hunt.io/blog/server-side-phishing-evasion-employee-portals

Report completeness: Low

Actors/Campaigns:
Gamaredon

Threats:
Hydra
Sectop_rat
Shadowpad

Victims:
Lowe's, Aramark, Highmark, At&t, Aflac, United airlines

Industry:
Foodtech, Healthcare, Aerospace, Government

Geo:
Russia, Canadian

CVEs:
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1136, T1071.003

IOCs:
File: 4
Domain: 17
IP: 6

Soft:
Android

Functions:
getupdates2fa

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сложной кампании по краже учетных данных используются методы фишинга на стороне сервера, нацеленные на порталы сотрудников, с использованием PHP-скрипта (xxx.php), чтобы скрыть обнаружение. Размещенный на российском сервере (IP: 80.64.30.101), он использует несколько доменов, имитирующих легальные сайты, для сбора конфиденциальной информации, что затрудняет усилия по обнаружению и указывает на организованных хакеров.
-----

Продолжающаяся кампания по краже учетных данных с использованием методов фишинга на стороне сервера становится все более изощренной и нацелена на кражу конфиденциальной информации на порталах сотрудников и пользователей. Этот тип фишинга остается одним из наиболее эффективных методов получения первоначального доступа к корпоративной среде, позволяя хакерам использовать украденные учетные данные для внутреннего перемещения и эксплуатации до того, как будут поданы сигналы тревоги.

Проверяемая операция началась с получения информации из различных источников, в том числе из отчета Malwarebytes, касающегося вредоносной кампании, в ходе которой использовались объявления Google для привлечения внимания сотрудников Lowe's. В ходе расследования был выявлен конкретный PHP-скрипт, идентифицированный как xxx.php, который использовался в качестве фишингового набора. Фишинговые страницы эволюционировали, чтобы избежать проверки учетных данных на стороне клиента, и теперь используют серверный механизм, который скрывает ключевые точки обнаружения, на которые традиционно полагались средства защиты.

Ключевым примером этой кампании является фишинговая страница, клонированная таким образом, чтобы походить на официальный портал доступа сотрудников Aramark, демонстрирующий почти идентичный макет и дизайн. JavaScript на фишинговом сайте записывает введенные учетные данные и передает их на соответствующий сервер PHP, но не перенаправляет пользователей на законный сайт, как это было в предыдущих вариантах. Это стратегическое изменение усложняет работу аналитиков и автоматизированных систем по обнаружению.

Инфраструктура, поддерживающая эти фишинговые атаки, в частности сервер с IP-адресом 80.64.30.101, подключена к компании Chang Way Technologies Co. Limited в России, которая была причастна к различным киберпреступлениям, включая распространение вредоносного ПО и использование уязвимостей, таких как CVE-2023-3519. На сервере размещено несколько доменов, имитирующих различные корпоративные страницы входа в систему, что значительно расширяет спектр угроз. Например, другой вариант, наблюдаемый в домене hignmarkedmemb.com имитирует рабочие процессы двухфакторной аутентификации, включающие сложные взаимодействия на JavaScript для сбора дополнительной информации о учетных данных.

В вышеупомянутой инфраструктуре размещено около 12 доменов, которые подменяют популярные сервисы, такие как AT&T и AFLAC. Некоторые страницы представляют собой безобидную информацию или маскировку, чтобы запутать расследования, что может указывать на стратегический подход к уклонению от обнаружения и анализа. Инфраструктура предполагает наличие организованных и потенциально связанных с государством субъектов, использующих передовые методы фишинга и инфраструктуру для поддержания своего оперативного присутствия.

#ParsedReport #CompletenessMedium
20-04-2025

State-Sponsored Tactics: How Gamaredon and ShadowPad Operate and Rotate Their Infrastructure

https://hunt.io/blog/state-sponsored-activity-gamaredon-shadowpad

Report completeness: Medium

Actors/Campaigns:
Gamaredon (motivation: cyber_criminal, cyber_espionage)
Nomadpanda
Redfoxtrot

Threats:
Shadowpad
Fastflux_technique
Dll_sideloading_technique

Victims:
Ukrainian government, Civil society organizations, Western government entities, Nato member states, Broadcom, Indian telecom, Government organizations

Industry:
Government, Semiconductor_industry, Telco

Geo:
Ireland, Ukrainian, American, Chinese, Russian, Africa, China, Russia, Indian

ChatGPT TTPs:
do not use without manual check
T1568.002, T1566.001, T1132.001

IOCs:
Domain: 29
IP: 44
Path: 2
File: 1
Hash: 5

Algorithms:
zip, exhibit

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gamaredon использует технологии fast flux DNS для обеспечения скрытности инфраструктуры, что усложняет удаление данных, в то время как ShadowPad, связанная с китайскими игроками, использует модульные бэкдоры с общими сертификатами и доменами TLS. Обе группы отражают тенденцию к адаптивной тактике для обеспечения долговременной работы, защищенной от обнаружения.
-----

Недавние расследования деятельности хакеров, спонсируемых государством, в частности Gamaredon и ShadowPad, выявили четкие закономерности в управлении их инфраструктурой и методах работы. Российская хакерская группа Gamaredon, действующая как минимум с 2013 года и известная своими атаками на украинские и западные организации, использует технологию fast flux DNS для сокрытия своей инфраструктуры. Быстрый поток, который может быть одинарным или двойным, предполагает быструю смену связанных IP-адресов при сохранении статических серверов имен или при смене обеих записей соответственно. Этот метод усложняет идентификацию и удаление вредоносных доменов. Продолжающееся использование группой доменов .ru, зарегистрированных через REGRU-RU, демонстрирует обширную и легко адаптируемую инфраструктуру. Недавний анализ выявил более 30 серверов, подключенных к Gamaredon, и выявил поведение DNS, предназначенное для быстрого изменения разрешения IP-адресов; например, такие домены, как innocentmillions.ru, показывали время ожидания всего пять секунд, что позволяло быстро перенаправлять трафик.

Параллельно была также тщательно изучена инфраструктура, подключенная к ShadowPad. ShadowPad - это модульный бэкдор, который обычно ассоциируется с китайскими хакерами, связанными с государственными структурами, и служит надежным показателем активности APT. Недавние данные указывают на то, что серверы, подключенные к ShadowPad, имеют общие сертификаты TLS, некоторые из которых подделаны Microsoft. Было обнаружено, что известный сервер, подключенный к ShadowPad, взаимодействует с доменом, связанным с вредоносной деятельностью, что свидетельствует об изощренности работы группы. Черный ход был обнаружен в ZIP-архиве, известном как Dvx.zip, содержащем множество компонентов, таких как законный, но уязвимый исполняемый файл Windows с подписью и скрипты, предназначенные для выполнения.

Кроме того, связи между ShadowPad и предполагаемым китайским хакером RedFoxtrot были выявлены с помощью общих элементов инфраструктуры и методов снятия отпечатков пальцев. К ним относятся службы динамического DNS и серверы, размещенные на различных известных VPS-провайдерах. Оперативные схемы, продемонстрированные в данном случае, включая использование инфраструктуры, которая выдает себя за законные организации, подчеркивают тщательное планирование и исполнение такими группами, спонсируемыми государством.

Как Gamaredon, так и ShadowPad отражают более широкую тенденцию хакеров, связанных с государственными структурами, к постоянному совершенствованию своей тактики. Использование алгоритмов генерации доменов в сочетании с методами fast flux и тщательным обслуживанием точек доступа демонстрирует их способность обеспечивать длительную работу и при этом оставаться устойчивыми к попыткам обнаружения. Понимание этих технических деталей позволяет получить представление о методологиях, используемых этими группами, что имеет решающее значение для разработки стратегий защиты от таких постоянных угроз.

#ParsedReport #CompletenessHigh
20-04-2025

Exposing Russian EFF Impersonators: The Inside Story on Stealc & Pyramid C2

https://hunt.io/blog/russian-speaking-actors-impersonate-etf-distribute-stealc-pyramid-c2

Report completeness: High

Threats:
Pyramid_c2_tool
Stealc
Opendir

Victims:
Albion online players

Industry:
Entertainment, Government

Geo:
Russian, India

ChatGPT TTPs:
do not use without manual check
T1566, T1204.002, T1059.001, T1041, T1078.004, T1071.001, T1505.003

IOCs:
Url: 3
IP: 17
File: 2
Domain: 2
Hash: 9

Soft:
Linux, Firefox, Chrome

Algorithms:
zip, base64

Languages:
powershell, python