#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская APT-группа Flax Typhoon использует уязвимости серверов для целевых организаций, в основном на Тайване и в других регионах. Они используют веб-оболочки для удаленного выполнения, повышают привилегии с помощью таких инструментов, как Juicy Potato, и поддерживают постоянство с помощью SoftEther VPN. Их тактика заключается в краже хэшированных паролей и использовании крупной ботнета Raptor Train для скоординированных атак. Организациям следует улучшить управление исправлениями, внедрить многофакторную аутентификацию и использовать инструменты SIEM и EDR для лучшей защиты от подобных угроз.
-----

Flax Typhoon, также известная как RedJuliett и Ethereal Panda, представляет собой сложную китайскую государственную группу APT, которая в основном нацелена на тайваньские организации, но расширила свою деятельность на Северную Америку, Африку и Юго-Восточную Азию. Их методология атак часто начинается с использования общеизвестных уязвимостей в серверах, включая такие сервисы, как VPN, Java и веб-приложения. Группа использовала контролируемые хакерами VPN-серверы SoftEther, которые также были сконфигурированы как сканеры безопасности веб-приложений, для проведения разведки и запуска атак, главным образом, против таких секторов, как правительство, образование, технологии и телекоммуникации.

Получив доступ к целевой сети, Flax Typhoon использует веб—оболочки, включая China Chopper, devilzShell и AntSword, для упрощения удаленного выполнения кода с минимальными затратами. Когда для первоначального доступа не хватает прав локального администратора, группа использует инструменты с открытым исходным кодом, такие как Juicy Potato и BadPotato, для повышения привилегий путем использования дополнительных уязвимостей. Они обеспечивают постоянство с помощью различных средств, в частности, путем развертывания VPN-соединения, которое соединяет скомпрометированную систему со своей инфраструктурой, обеспечивая постоянный доступ к системе и ее мониторинг.

Для создания надежной инфраструктуры управления Flax Typhoon использует SoftEther VPN, часто маскируя свою деятельность, переименовывая исполняемые файлы, чтобы они напоминали законные процессы Windows, и используя VPN-over-HTTPS для маскировки трафика. Они осуществляют боковые перемещения по скомпрометированной сети, используя законные инструменты, такие как Windows Remote Management и WMIC, а также нацеливаются на критически важные процессы, такие как служба подсистемы локальной безопасности (LSASS), для извлечения хэшированных паролей пользователей, облегчая дальнейший доступ с помощью таких тактик, как передача хэша.

Кроме того, группа связана с ботнетом Raptor Train, управляемым Integrity Technology Group, который за короткий промежуток времени значительно расширился с 60 000 до более чем 260 000 устройств. Оперативная стратегия Raptor Train включает в себя методы скрытности, в первую очередь с использованием легального программного обеспечения для обеспечения устойчивости, а также развертывания специальной версии вредоносного ПО Mirai. Этот ботнет работает по всему миру и соответствует тактике, используемой Flax Typhoon, что подтверждает идею скоординированных усилий в кибершпионаже, спонсируемом государством.

Чтобы защититься от этих угроз, организациям рекомендуется поддерживать строгий контроль исправлений для общедоступных систем, применять многофакторную аутентификацию и применять принципы минимизации привилегий для предотвращения несанкционированного доступа. Крайне важен постоянный мониторинг внешних служб, а также отслеживание показателей после ввода в эксплуатацию, таких как веб-оболочки и боковые перемещения. Использование средств сбора информации о безопасности и управления событиями (SIEM) и обнаружения конечных точек и реагирования на них (EDR) может расширить возможности обнаружения и реагирования, в то время как сегментация сети может ограничить горизонтальное перемещение угроз в случае взлома.

#ParsedReport #CompletenessMedium
20-04-2025

KeyPlug-Linked Server Briefly Exposes Fortinet Exploits, Webshells, and Recon Activity Targeting a Major Japanese Company

https://hunt.io/blog/keyplug-server-exposes-fortinet-exploits-webshells

Report completeness: Medium

Actors/Campaigns:
Winnti

Threats:
Keyplug

Victims:
Major japanese company

Industry:
Healthcare

Geo:
Japanese, Singapore

CVEs:
CVE-2024-23108 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortisiem (le6.4.2, le6.5.2, le6.6.3, le6.7.8, le7.0.2)

CVE-2024-23109 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortisiem (le6.4.2, le6.5.2, le6.6.3, le6.7.8, le7.0.2)


ChatGPT TTPs:
do not use without manual check
T1190, T1059, T1018, T1573, T1213

IOCs:
IP: 8
Hash: 13
File: 9
Domain: 1

Soft:
Chrome, Node.js, Linux

Algorithms:
sha256, xor, aes-128, aes

Languages:
php, powershell, javascript, python

Platforms:
x64

Links:
https://github.com/dotnet/runtime/blob/main/docs/design/coreclr/botr/xplat-minidump-generation.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
На сервере, подключенном к вредоносному ПО KeyPlug, были обнаружены сценарии эксплойтов, нацеленные на уязвимости Fortinet (CVE-2024-23108, CVE-2024-23109), вредоносный файл ELF от RedGolf group и сценарии сетевой разведки. Также была обнаружена пользовательская обратная оболочка PowerShell, указывающая на сложные методы атаки и активное использование систем Fortinet.
-----

Недавно обнаруженный сервер, связанный с вредоносным ПО KeyPlug, раскрыл важные технические подробности о текущих кибероперациях, направленных против крупной японской компании. Сервер, который был активен менее 24 часов, содержал сценарии эксплойтов, нацеленные на уязвимости брандмауэра Fortinet и VPN, а также веб-оболочку на базе PHP, способную выполнять полезную нагрузку, зашифрованную с помощью AES и XOR. Кроме того, были определены сценарии сетевой разведки, специально разработанные для проверки подлинности и внутренних конфигураций портала.

Примечательно, что открытая инфраструктура содержала скрипты, предназначенные для устройств Fortinet, способные идентифицировать порталы для входа в систему в режиме реального времени и извлекать значения хэша JavaScript, привязанные к конкретным версиям устройств. Эти данные жизненно важны для определения совместимости эксплойтов. Особое внимание уделяется мерам безопасности для интерфейсов Fortinet SSL VPN, в частности обеспечению их обновления до поддерживаемых версий и мониторингу необычных схем доступа к конечным точкам входа.

Также был обнаружен вредоносный файл ELF, связанный с хакерской группой RedGolf, который частично совпадает с APT41 и демонстрирует функциональность бэкдора. Этот образец ELF продемонстрировал периодическую активность, типичную для операций, связанных с RedGolf, что свидетельствует о тактическом подходе, позволяющем избежать обнаружения. Инфраструктура включала дополнительные домены, связанные со службами аутентификации, такими как Okta и Keycloak, что указывает на необходимость доступа к порталам и внутренним системам, связанным с сотрудниками.

Дальнейшее изучение скриптов, связанных с подключением ключей, выявило механизмы использования уязвимостей в конечных точках CLI на базе WebSocket от Fortinet, в частности, CVE-2024-23108 и CVE-2024-23109. Скрипты, используемые для автоматизации атак на FortiOS версий с 7.0.0 по 7.0.15, имитируют локальный доступ к привилегированным командам с целью обхода аутентификации с помощью специально созданных запросов.

Кроме того, в содержимом сервера была обнаружена пользовательская обратная оболочка, написанная на PowerShell, что облегчило подключение к отслеживаемому IP-адресу по протоколу TCP. Обратная оболочка использовала шифрование AES-128 для связи и демонстрировала взаимодействия, зафиксированные в журнале истории команд, что указывало на активное использование системы жертвы.

Таким образом, краткий обзор этого сервера, связанного с KeyPlug и хакерской группой RedGolf, выявил сложные методы атаки, включая использование специфических уязвимостей в системах Fortinet, использование разведывательных скриптов и внедрение вредоносных программ-бэкдоров. Эти результаты подчеркивают важность оперативного мониторинга и принятия ответных мер для организаций, особенно тех, у которых инфраструктура Fortinet подключена к Интернету.

#ParsedReport #CompletenessLow
20-04-2025

Server-Side Phishing: How Credential Theft Campaigns Are Hiding in Plain Sight

https://hunt.io/blog/server-side-phishing-evasion-employee-portals

Report completeness: Low

Actors/Campaigns:
Gamaredon

Threats:
Hydra
Sectop_rat
Shadowpad

Victims:
Lowe's, Aramark, Highmark, At&t, Aflac, United airlines

Industry:
Foodtech, Healthcare, Aerospace, Government

Geo:
Russia, Canadian

CVEs:
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1136, T1071.003

IOCs:
File: 4
Domain: 17
IP: 6

Soft:
Android

Functions:
getupdates2fa

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сложной кампании по краже учетных данных используются методы фишинга на стороне сервера, нацеленные на порталы сотрудников, с использованием PHP-скрипта (xxx.php), чтобы скрыть обнаружение. Размещенный на российском сервере (IP: 80.64.30.101), он использует несколько доменов, имитирующих легальные сайты, для сбора конфиденциальной информации, что затрудняет усилия по обнаружению и указывает на организованных хакеров.
-----

Продолжающаяся кампания по краже учетных данных с использованием методов фишинга на стороне сервера становится все более изощренной и нацелена на кражу конфиденциальной информации на порталах сотрудников и пользователей. Этот тип фишинга остается одним из наиболее эффективных методов получения первоначального доступа к корпоративной среде, позволяя хакерам использовать украденные учетные данные для внутреннего перемещения и эксплуатации до того, как будут поданы сигналы тревоги.

Проверяемая операция началась с получения информации из различных источников, в том числе из отчета Malwarebytes, касающегося вредоносной кампании, в ходе которой использовались объявления Google для привлечения внимания сотрудников Lowe's. В ходе расследования был выявлен конкретный PHP-скрипт, идентифицированный как xxx.php, который использовался в качестве фишингового набора. Фишинговые страницы эволюционировали, чтобы избежать проверки учетных данных на стороне клиента, и теперь используют серверный механизм, который скрывает ключевые точки обнаружения, на которые традиционно полагались средства защиты.

Ключевым примером этой кампании является фишинговая страница, клонированная таким образом, чтобы походить на официальный портал доступа сотрудников Aramark, демонстрирующий почти идентичный макет и дизайн. JavaScript на фишинговом сайте записывает введенные учетные данные и передает их на соответствующий сервер PHP, но не перенаправляет пользователей на законный сайт, как это было в предыдущих вариантах. Это стратегическое изменение усложняет работу аналитиков и автоматизированных систем по обнаружению.

Инфраструктура, поддерживающая эти фишинговые атаки, в частности сервер с IP-адресом 80.64.30.101, подключена к компании Chang Way Technologies Co. Limited в России, которая была причастна к различным киберпреступлениям, включая распространение вредоносного ПО и использование уязвимостей, таких как CVE-2023-3519. На сервере размещено несколько доменов, имитирующих различные корпоративные страницы входа в систему, что значительно расширяет спектр угроз. Например, другой вариант, наблюдаемый в домене hignmarkedmemb.com имитирует рабочие процессы двухфакторной аутентификации, включающие сложные взаимодействия на JavaScript для сбора дополнительной информации о учетных данных.

В вышеупомянутой инфраструктуре размещено около 12 доменов, которые подменяют популярные сервисы, такие как AT&T и AFLAC. Некоторые страницы представляют собой безобидную информацию или маскировку, чтобы запутать расследования, что может указывать на стратегический подход к уклонению от обнаружения и анализа. Инфраструктура предполагает наличие организованных и потенциально связанных с государством субъектов, использующих передовые методы фишинга и инфраструктуру для поддержания своего оперативного присутствия.

#ParsedReport #CompletenessMedium
20-04-2025

State-Sponsored Tactics: How Gamaredon and ShadowPad Operate and Rotate Their Infrastructure

https://hunt.io/blog/state-sponsored-activity-gamaredon-shadowpad

Report completeness: Medium

Actors/Campaigns:
Gamaredon (motivation: cyber_criminal, cyber_espionage)
Nomadpanda
Redfoxtrot

Threats:
Shadowpad
Fastflux_technique
Dll_sideloading_technique

Victims:
Ukrainian government, Civil society organizations, Western government entities, Nato member states, Broadcom, Indian telecom, Government organizations

Industry:
Government, Semiconductor_industry, Telco

Geo:
Ireland, Ukrainian, American, Chinese, Russian, Africa, China, Russia, Indian

ChatGPT TTPs:
do not use without manual check
T1568.002, T1566.001, T1132.001

IOCs:
Domain: 29
IP: 44
Path: 2
File: 1
Hash: 5

Algorithms:
zip, exhibit

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gamaredon использует технологии fast flux DNS для обеспечения скрытности инфраструктуры, что усложняет удаление данных, в то время как ShadowPad, связанная с китайскими игроками, использует модульные бэкдоры с общими сертификатами и доменами TLS. Обе группы отражают тенденцию к адаптивной тактике для обеспечения долговременной работы, защищенной от обнаружения.
-----

Недавние расследования деятельности хакеров, спонсируемых государством, в частности Gamaredon и ShadowPad, выявили четкие закономерности в управлении их инфраструктурой и методах работы. Российская хакерская группа Gamaredon, действующая как минимум с 2013 года и известная своими атаками на украинские и западные организации, использует технологию fast flux DNS для сокрытия своей инфраструктуры. Быстрый поток, который может быть одинарным или двойным, предполагает быструю смену связанных IP-адресов при сохранении статических серверов имен или при смене обеих записей соответственно. Этот метод усложняет идентификацию и удаление вредоносных доменов. Продолжающееся использование группой доменов .ru, зарегистрированных через REGRU-RU, демонстрирует обширную и легко адаптируемую инфраструктуру. Недавний анализ выявил более 30 серверов, подключенных к Gamaredon, и выявил поведение DNS, предназначенное для быстрого изменения разрешения IP-адресов; например, такие домены, как innocentmillions.ru, показывали время ожидания всего пять секунд, что позволяло быстро перенаправлять трафик.

Параллельно была также тщательно изучена инфраструктура, подключенная к ShadowPad. ShadowPad - это модульный бэкдор, который обычно ассоциируется с китайскими хакерами, связанными с государственными структурами, и служит надежным показателем активности APT. Недавние данные указывают на то, что серверы, подключенные к ShadowPad, имеют общие сертификаты TLS, некоторые из которых подделаны Microsoft. Было обнаружено, что известный сервер, подключенный к ShadowPad, взаимодействует с доменом, связанным с вредоносной деятельностью, что свидетельствует об изощренности работы группы. Черный ход был обнаружен в ZIP-архиве, известном как Dvx.zip, содержащем множество компонентов, таких как законный, но уязвимый исполняемый файл Windows с подписью и скрипты, предназначенные для выполнения.

Кроме того, связи между ShadowPad и предполагаемым китайским хакером RedFoxtrot были выявлены с помощью общих элементов инфраструктуры и методов снятия отпечатков пальцев. К ним относятся службы динамического DNS и серверы, размещенные на различных известных VPS-провайдерах. Оперативные схемы, продемонстрированные в данном случае, включая использование инфраструктуры, которая выдает себя за законные организации, подчеркивают тщательное планирование и исполнение такими группами, спонсируемыми государством.

Как Gamaredon, так и ShadowPad отражают более широкую тенденцию хакеров, связанных с государственными структурами, к постоянному совершенствованию своей тактики. Использование алгоритмов генерации доменов в сочетании с методами fast flux и тщательным обслуживанием точек доступа демонстрирует их способность обеспечивать длительную работу и при этом оставаться устойчивыми к попыткам обнаружения. Понимание этих технических деталей позволяет получить представление о методологиях, используемых этими группами, что имеет решающее значение для разработки стратегий защиты от таких постоянных угроз.

#ParsedReport #CompletenessHigh
20-04-2025

Exposing Russian EFF Impersonators: The Inside Story on Stealc & Pyramid C2

https://hunt.io/blog/russian-speaking-actors-impersonate-etf-distribute-stealc-pyramid-c2

Report completeness: High

Threats:
Pyramid_c2_tool
Stealc
Opendir

Victims:
Albion online players

Industry:
Entertainment, Government

Geo:
Russian, India

ChatGPT TTPs:
do not use without manual check
T1566, T1204.002, T1059.001, T1041, T1078.004, T1071.001, T1505.003

IOCs:
Url: 3
IP: 17
File: 2
Domain: 2
Hash: 9

Soft:
Linux, Firefox, Chrome

Algorithms:
zip, base64

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В киберкампании, нацеленной на игроков Albion Online, хакер, выдававший себя за EFF, распространял вредоносное по Stealc с помощью фишинговых сообщений и поддельных документов. Анализ выявил инфраструктуру Pyramid C2, которая использовала зашифрованную доставку файлов и такие методы, как базовая аутентификация, для извлечения учетных данных из браузеров. Эта операция, проводимая русскоязычными разработчиками, подчеркивает угрозу, которую представляют для игровых сообществ социальная инженерия и вредоносное ПО.
-----

Расследование кампании, направленной против сообщества онлайн-геймеров, в частности игроков Albion Online, выявило хакера, выдававшего себя за Electronic Frontier Foundation (EFF). В ходе операции использовались поддельные документы для придания достоверности при запуске вредоносного программного обеспечения, в частности вредоносной программы Stealc и серверов командно-диспетчерского управления Pyramid (C2). Анализ каталога незащищенного сервера выявил большое количество вредоносного контента, включая PDF-файлы, ZIP-архивы, сценарии PowerShell и другие признаки, характерные для создания вредоносных программ, такие как имена файлов с двойным расширением. Серверная база была распределена на 11 связанных серверов с помощью общих SSH-ключей, что указывает на единую инфраструктуру, управляемую потенциально русскоязычными разработчиками.

Фишинговые сообщения, выдававшие себя за EFF, распространялись на онлайн-форуме Albion, привлекая игроков доверием под предлогом проверки безопасности аккаунта, что отражало финансовую мотивацию этих атак. Одна из ключевых тактик заключалась в использовании файла быстрого доступа Windows (LNK), который запускал сценарий PowerShell, способный доставлять вредоносное ПО и отвлекать пользователей, создавая видимость подлинного PDF-документа. Этот скрипт был разработан в соответствии с подробным процессом: он облегчил загрузку и выполнение вредоносной полезной нагрузки, которая включала в себя albion.exe, перепрофилированный легитимный исполняемый файл, и 12.py, скрипт на Python, который был подробно прокомментирован на русском языке. Такой комментарий свидетельствует о значительной подготовительной работе со стороны хакера.

Дальнейшее расследование выявило инфраструктуру Pyramid C2, которая использовала доставку зашифрованных файлов, чтобы избежать обнаружения конечными устройствами. В сетевых коммуникациях были обнаружены известные методы, такие как обычная аутентификация и определенный формат ответов JSON. Функциональность вредоносного ПО включала извлечение сохраненных учетных данных из популярных веб-браузеров, таких как Firefox и Chrome, перед передачей этой конфиденциальной информации обратно в C2.

В ходе кампании применялась передовая тактика, направленная на повышение доверия пользователей к известным организациям и использование особенностей игровой среды, что сделало их главными мишенями для финансовых махинаций. Раскрытие информации об их инфраструктуре из-за неправильных настроек позволило глубже понять их деятельность. Как было продемонстрировано, сочетание социальной инженерии, автоматизированных методов фишинга и сложного внедрения вредоносных программ подчеркивает необходимость бдительного мониторинга и проактивной защиты от появляющихся хакеров. Пользователям следует с осторожностью относиться к нежелательным сообщениям, особенно к тем, которые содержат ссылки на известные организации в сфере кибербезопасности, чтобы снизить риски, связанные с такими целенаправленными попытками фишинга.

#ParsedReport #CompletenessMedium
20-04-2025

Identifying ClickFix Exploits: A Case Study in Proactive Threat Hunting

https://hunt.io/blog/clickfix-pages-proactive-threat-hunting

Report completeness: Medium

Threats:
Clickfix_technique
Lumma_stealer
Cryptbot_stealer
Credential_harvesting_technique

Geo:
Japanese, London

ChatGPT TTPs:
do not use without manual check
T1059.001, T1218.005, T1027

IOCs:
File: 1
Domain: 13
Url: 2
IP: 9
Hash: 8

Soft:
Telegram, Steam

Algorithms:
base64, zip

Languages:
javascript, php, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 1, windows: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ClickFix - это обманный метод выполнения, который заставляет пользователей выполнять вредоносные команды с помощью поддельных предупреждений, инициируя действия с помощью команд буфера обмена и PowerShell. Различные варианты полезной нагрузки, включая скрипт, связанный с Lumma Stealer, выполняются без использования традиционного вредоносного ПО, напрямую собирая учетные данные пользователя и подчеркивая его адаптивность к атакам без использования файлов.
-----

ClickFix - это обманный метод выполнения, который нацелен на пользователей с помощью знакомых элементов пользовательского интерфейса, эффективно заставляя их выполнять вредоносные команды под видом законных системных запросов. В этом методе часто используются поддельные оповещения, такие как "Исправить сейчас" или "Проверка бота", чтобы инициировать взаимодействие пользователя с событиями щелчка или загрузкой страницы на JavaScript. Процесс атаки начинается с указания пользователям открыть диалоговое окно запуска Windows, используя комбинацию клавиш Windows + R. Затем злоумышленник просит пользователя вставить команду, предварительно загруженную в буфер обмена с помощью JavaScript, и нажать Enter, после чего выполняется полезная нагрузка. Полезная нагрузка часто использует mshta.exe или PowerShell для извлечения и выполнения удаленного сценария.

В попытке упреждающе идентифицировать домены, использующие ClickFix, исследовательская группа использовала HuntSQL для создания структурированных запросов, основанных на наблюдаемом поведении. Эта стратегия привела к обнаружению множества доменов, обслуживающих вредоносный контент, о котором не сообщалось. Используя строки, обычно ассоциирующиеся с такими эксплойтами, защитники могут усилить свои усилия по поиску угроз, расширив параметры запросов и включив в них дополнительные шаблоны, связанные с манипуляциями с буфером обмена и выполнением PowerShell.

Выполнение полезной нагрузки обычно включает в себя сценарий PowerShell в кодировке Base64, который загружает несколько ZIP-архивов, содержащих вредоносные исполняемые файлы. Один из вариантов, отмеченный поставщиками антивирусов как, возможно, связанный с вредоносной программой Lumma Stealer, демонстрирует контролируемую злоумышленником конечную точку для регистрации успешных или неудачных попыток извлечения этих архивов. Другие примеры демонстрируют вариант кражи учетных данных, при котором пользователям предлагается ввести свой адрес электронной почты и пароль непосредственно на веб-странице, маскируясь под запрос на подтверждение. Примечательно, что этот метод позволяет обойти традиционное вредоносное ПО, напрямую собирая конфиденциальные данные пользователя.

Кроме того, ClickFix адаптирован для проведения атак без использования файлов, используя скомпрометированные сайты для передачи команд PowerShell с помощью манипуляций с буфером обмена. Эти изменения подчеркивают универсальность технологии для выполнения полезной нагрузки, кражи учетных данных и промежуточных действий, не полагаясь на традиционную инфраструктуру атаки.

#ParsedReport #CompletenessLow
20-04-2025

GoPhish Framework Leveraged to Target Polish Government Regulator and Energy Sector

https://hunt.io/blog/gophish-targets-polish-energy-government

Report completeness: Low

Threats:
Gophish_tool
Credential_harvesting_technique
Supply_chain_technique

Victims:
Polish government regulator, Nomad electric, R.power, Intellectual property law firm, Fitness gym, Catering service, Mercedes-benz

Industry:
Energy, Petroleum, Government

Geo:
Netherlands, Poland, Polish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1584

IOCs:
Domain: 21
IP: 3
File: 4

Platforms:
intel

Links:
https://github.com/gophish/gophish

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа GoPhish используется в фишинговых кампаниях, нацеленных на государственные регулирующие органы Польши и энергетические компании, с идентифицированными доменами, предназначенными для выдачи себя за законные организации. Наличие открытой административной панели и тематическое совпадение с целевыми секторами указывает на подготовку к сбору учетных данных, несмотря на то, что активного фишингового контента обнаружено не было. Постоянное обслуживание этих доменов свидетельствует о готовности к будущим атакам, что подчеркивает необходимость проявлять бдительность в отношении растущих угроз фишинга в секторах с высоким уровнем доверия.
-----

Платформа GoPhish была идентифицирована как инструмент, используемый в фишинговых кампаниях, нацеленных на польские государственные регулирующие органы и организации энергетического сектора. Анализ административно-управленческой инфраструктуры (C2) выявил области, имитирующие польские организации, связанные с рынками электроэнергии и газа, в частности Управление энергетического регулирования (URE) и частную фирму Nomad Electric. Хотя на момент проверки активного фишингового контента обнаружено не было, настройка предполагает целенаправленную подготовку к сбору учетных данных.

В ходе расследования важным выводом стала идентификация домена uregov.pl, который отличается от стандартных польских правительственных соглашений об именовании доменов, что указывает на намерение ввести в заблуждение. Этот домен был преобразован в IP-адрес Microsoft, и дальнейшая проверка выявила открытую административную панель на порту 3333, связанную с платформой GoPhish, которая обычно используется как для проверки законной безопасности, так и для фишинга из-за простоты настройки. Наличие фреймворка в сочетании с дизайном фишинговой инфраструктуры и тематическими элементами означает этап разведки, направленный на выявление целей в энергетическом секторе.

Помимо домена, связанного с URE8, к Nomad Electric были привязаны еще восемь доменов, что указывает на повышенный интерес к коммуникациям энергетического сектора. Домены были зарегистрированы в период с конца 2024 года по февраль 2025 года с использованием регистратора, известного своими злонамеренными действиями. Тематическое совпадение между частной энергетической компанией и национальным регулирующим органом подчеркивает потенциальную возможность фишинговых атак на разных уровнях цепочки поставок, что отражает общую стратегию, направленную на получение конфиденциальных данных.

Расследование также выявило домены, которые выдавали себя за различные бренды, в том числе не связанные с энергетическим сектором, что свидетельствует о более широком оппортунистическом подходе к сбору учетных данных. Хотя во время проверки домены выдали ответ "Страница 404 не найдена", что указывает на отсутствие активного контента на данный момент, текущее обслуживание этих доменов и их конфигураций вызывает опасения по поводу их готовности к будущим фишинговым кампаниям.

Наблюдаемая техническая инфраструктура обладает атрибутами, типичными для фишинговых операций, включая недолговечные сертификаты и изменяемую тему домена, разработанную для обеспечения гибкости. Конфигурация указывает на намерение быстро адаптироваться в ответ на обнаружение или превентивные меры. Мониторинг подозрительных регистраций доменов, которые напоминают внутренние системы или партнеров, наряду с отслеживанием журналов прозрачности сертификатов, остается критически важным для выявления потенциального повторного использования этой инфраструктуры. Отсутствие живого фишингового контента не уменьшает угрозу; постоянная бдительность и правильные защитные меры необходимы для защиты от возникающих угроз фишинга в таких секторах, пользующихся высоким уровнем доверия, как энергетика и юридические услуги.