CTT Report Hub
#ParsedReport #CompletenessLow 20-04-2025 Server-Side Phishing: How Credential Theft Campaigns Are Hiding in Plain Sight https://hunt.io/blog/server-side-phishing-evasion-employee-portals Report completeness: Low Actors/Campaigns: Gamaredon Threats: Hydra…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В сложной кампании по краже учетных данных используются методы фишинга на стороне сервера, нацеленные на порталы сотрудников, с использованием PHP-скрипта (xxx.php), чтобы скрыть обнаружение. Размещенный на российском сервере (IP: 80.64.30.101), он использует несколько доменов, имитирующих легальные сайты, для сбора конфиденциальной информации, что затрудняет усилия по обнаружению и указывает на организованных хакеров.
-----
Продолжающаяся кампания по краже учетных данных с использованием методов фишинга на стороне сервера становится все более изощренной и нацелена на кражу конфиденциальной информации на порталах сотрудников и пользователей. Этот тип фишинга остается одним из наиболее эффективных методов получения первоначального доступа к корпоративной среде, позволяя хакерам использовать украденные учетные данные для внутреннего перемещения и эксплуатации до того, как будут поданы сигналы тревоги.
Проверяемая операция началась с получения информации из различных источников, в том числе из отчета Malwarebytes, касающегося вредоносной кампании, в ходе которой использовались объявления Google для привлечения внимания сотрудников Lowe's. В ходе расследования был выявлен конкретный PHP-скрипт, идентифицированный как xxx.php, который использовался в качестве фишингового набора. Фишинговые страницы эволюционировали, чтобы избежать проверки учетных данных на стороне клиента, и теперь используют серверный механизм, который скрывает ключевые точки обнаружения, на которые традиционно полагались средства защиты.
Ключевым примером этой кампании является фишинговая страница, клонированная таким образом, чтобы походить на официальный портал доступа сотрудников Aramark, демонстрирующий почти идентичный макет и дизайн. JavaScript на фишинговом сайте записывает введенные учетные данные и передает их на соответствующий сервер PHP, но не перенаправляет пользователей на законный сайт, как это было в предыдущих вариантах. Это стратегическое изменение усложняет работу аналитиков и автоматизированных систем по обнаружению.
Инфраструктура, поддерживающая эти фишинговые атаки, в частности сервер с IP-адресом 80.64.30.101, подключена к компании Chang Way Technologies Co. Limited в России, которая была причастна к различным киберпреступлениям, включая распространение вредоносного ПО и использование уязвимостей, таких как CVE-2023-3519. На сервере размещено несколько доменов, имитирующих различные корпоративные страницы входа в систему, что значительно расширяет спектр угроз. Например, другой вариант, наблюдаемый в домене hignmarkedmemb.com имитирует рабочие процессы двухфакторной аутентификации, включающие сложные взаимодействия на JavaScript для сбора дополнительной информации о учетных данных.
В вышеупомянутой инфраструктуре размещено около 12 доменов, которые подменяют популярные сервисы, такие как AT&T и AFLAC. Некоторые страницы представляют собой безобидную информацию или маскировку, чтобы запутать расследования, что может указывать на стратегический подход к уклонению от обнаружения и анализа. Инфраструктура предполагает наличие организованных и потенциально связанных с государством субъектов, использующих передовые методы фишинга и инфраструктуру для поддержания своего оперативного присутствия.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В сложной кампании по краже учетных данных используются методы фишинга на стороне сервера, нацеленные на порталы сотрудников, с использованием PHP-скрипта (xxx.php), чтобы скрыть обнаружение. Размещенный на российском сервере (IP: 80.64.30.101), он использует несколько доменов, имитирующих легальные сайты, для сбора конфиденциальной информации, что затрудняет усилия по обнаружению и указывает на организованных хакеров.
-----
Продолжающаяся кампания по краже учетных данных с использованием методов фишинга на стороне сервера становится все более изощренной и нацелена на кражу конфиденциальной информации на порталах сотрудников и пользователей. Этот тип фишинга остается одним из наиболее эффективных методов получения первоначального доступа к корпоративной среде, позволяя хакерам использовать украденные учетные данные для внутреннего перемещения и эксплуатации до того, как будут поданы сигналы тревоги.
Проверяемая операция началась с получения информации из различных источников, в том числе из отчета Malwarebytes, касающегося вредоносной кампании, в ходе которой использовались объявления Google для привлечения внимания сотрудников Lowe's. В ходе расследования был выявлен конкретный PHP-скрипт, идентифицированный как xxx.php, который использовался в качестве фишингового набора. Фишинговые страницы эволюционировали, чтобы избежать проверки учетных данных на стороне клиента, и теперь используют серверный механизм, который скрывает ключевые точки обнаружения, на которые традиционно полагались средства защиты.
Ключевым примером этой кампании является фишинговая страница, клонированная таким образом, чтобы походить на официальный портал доступа сотрудников Aramark, демонстрирующий почти идентичный макет и дизайн. JavaScript на фишинговом сайте записывает введенные учетные данные и передает их на соответствующий сервер PHP, но не перенаправляет пользователей на законный сайт, как это было в предыдущих вариантах. Это стратегическое изменение усложняет работу аналитиков и автоматизированных систем по обнаружению.
Инфраструктура, поддерживающая эти фишинговые атаки, в частности сервер с IP-адресом 80.64.30.101, подключена к компании Chang Way Technologies Co. Limited в России, которая была причастна к различным киберпреступлениям, включая распространение вредоносного ПО и использование уязвимостей, таких как CVE-2023-3519. На сервере размещено несколько доменов, имитирующих различные корпоративные страницы входа в систему, что значительно расширяет спектр угроз. Например, другой вариант, наблюдаемый в домене hignmarkedmemb.com имитирует рабочие процессы двухфакторной аутентификации, включающие сложные взаимодействия на JavaScript для сбора дополнительной информации о учетных данных.
В вышеупомянутой инфраструктуре размещено около 12 доменов, которые подменяют популярные сервисы, такие как AT&T и AFLAC. Некоторые страницы представляют собой безобидную информацию или маскировку, чтобы запутать расследования, что может указывать на стратегический подход к уклонению от обнаружения и анализа. Инфраструктура предполагает наличие организованных и потенциально связанных с государством субъектов, использующих передовые методы фишинга и инфраструктуру для поддержания своего оперативного присутствия.
#ParsedReport #CompletenessMedium
20-04-2025
State-Sponsored Tactics: How Gamaredon and ShadowPad Operate and Rotate Their Infrastructure
https://hunt.io/blog/state-sponsored-activity-gamaredon-shadowpad
Report completeness: Medium
Actors/Campaigns:
Gamaredon (motivation: cyber_criminal, cyber_espionage)
Nomadpanda
Redfoxtrot
Threats:
Shadowpad
Fastflux_technique
Dll_sideloading_technique
Victims:
Ukrainian government, Civil society organizations, Western government entities, Nato member states, Broadcom, Indian telecom, Government organizations
Industry:
Government, Semiconductor_industry, Telco
Geo:
Ireland, Ukrainian, American, Chinese, Russian, Africa, China, Russia, Indian
ChatGPT TTPs:
T1568.002, T1566.001, T1132.001
IOCs:
Domain: 29
IP: 44
Path: 2
File: 1
Hash: 5
Algorithms:
zip, exhibit
Languages:
powershell
20-04-2025
State-Sponsored Tactics: How Gamaredon and ShadowPad Operate and Rotate Their Infrastructure
https://hunt.io/blog/state-sponsored-activity-gamaredon-shadowpad
Report completeness: Medium
Actors/Campaigns:
Gamaredon (motivation: cyber_criminal, cyber_espionage)
Nomadpanda
Redfoxtrot
Threats:
Shadowpad
Fastflux_technique
Dll_sideloading_technique
Victims:
Ukrainian government, Civil society organizations, Western government entities, Nato member states, Broadcom, Indian telecom, Government organizations
Industry:
Government, Semiconductor_industry, Telco
Geo:
Ireland, Ukrainian, American, Chinese, Russian, Africa, China, Russia, Indian
ChatGPT TTPs:
do not use without manual checkT1568.002, T1566.001, T1132.001
IOCs:
Domain: 29
IP: 44
Path: 2
File: 1
Hash: 5
Algorithms:
zip, exhibit
Languages:
powershell
hunt.io
Hunt.io Insights: Gamaredon’s Flux-Like Infrastructure and a Look at Recent ShadowPad Activity
Explore Gamaredon’s flux-like DNS and ShadowPad malware infrastructure, with insights into how these attacker networks are configured, rotated, and maintained.
CTT Report Hub
#ParsedReport #CompletenessMedium 20-04-2025 State-Sponsored Tactics: How Gamaredon and ShadowPad Operate and Rotate Their Infrastructure https://hunt.io/blog/state-sponsored-activity-gamaredon-shadowpad Report completeness: Medium Actors/Campaigns: Gamaredon…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Gamaredon использует технологии fast flux DNS для обеспечения скрытности инфраструктуры, что усложняет удаление данных, в то время как ShadowPad, связанная с китайскими игроками, использует модульные бэкдоры с общими сертификатами и доменами TLS. Обе группы отражают тенденцию к адаптивной тактике для обеспечения долговременной работы, защищенной от обнаружения.
-----
Недавние расследования деятельности хакеров, спонсируемых государством, в частности Gamaredon и ShadowPad, выявили четкие закономерности в управлении их инфраструктурой и методах работы. Российская хакерская группа Gamaredon, действующая как минимум с 2013 года и известная своими атаками на украинские и западные организации, использует технологию fast flux DNS для сокрытия своей инфраструктуры. Быстрый поток, который может быть одинарным или двойным, предполагает быструю смену связанных IP-адресов при сохранении статических серверов имен или при смене обеих записей соответственно. Этот метод усложняет идентификацию и удаление вредоносных доменов. Продолжающееся использование группой доменов .ru, зарегистрированных через REGRU-RU, демонстрирует обширную и легко адаптируемую инфраструктуру. Недавний анализ выявил более 30 серверов, подключенных к Gamaredon, и выявил поведение DNS, предназначенное для быстрого изменения разрешения IP-адресов; например, такие домены, как innocentmillions.ru, показывали время ожидания всего пять секунд, что позволяло быстро перенаправлять трафик.
Параллельно была также тщательно изучена инфраструктура, подключенная к ShadowPad. ShadowPad - это модульный бэкдор, который обычно ассоциируется с китайскими хакерами, связанными с государственными структурами, и служит надежным показателем активности APT. Недавние данные указывают на то, что серверы, подключенные к ShadowPad, имеют общие сертификаты TLS, некоторые из которых подделаны Microsoft. Было обнаружено, что известный сервер, подключенный к ShadowPad, взаимодействует с доменом, связанным с вредоносной деятельностью, что свидетельствует об изощренности работы группы. Черный ход был обнаружен в ZIP-архиве, известном как Dvx.zip, содержащем множество компонентов, таких как законный, но уязвимый исполняемый файл Windows с подписью и скрипты, предназначенные для выполнения.
Кроме того, связи между ShadowPad и предполагаемым китайским хакером RedFoxtrot были выявлены с помощью общих элементов инфраструктуры и методов снятия отпечатков пальцев. К ним относятся службы динамического DNS и серверы, размещенные на различных известных VPS-провайдерах. Оперативные схемы, продемонстрированные в данном случае, включая использование инфраструктуры, которая выдает себя за законные организации, подчеркивают тщательное планирование и исполнение такими группами, спонсируемыми государством.
Как Gamaredon, так и ShadowPad отражают более широкую тенденцию хакеров, связанных с государственными структурами, к постоянному совершенствованию своей тактики. Использование алгоритмов генерации доменов в сочетании с методами fast flux и тщательным обслуживанием точек доступа демонстрирует их способность обеспечивать длительную работу и при этом оставаться устойчивыми к попыткам обнаружения. Понимание этих технических деталей позволяет получить представление о методологиях, используемых этими группами, что имеет решающее значение для разработки стратегий защиты от таких постоянных угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Gamaredon использует технологии fast flux DNS для обеспечения скрытности инфраструктуры, что усложняет удаление данных, в то время как ShadowPad, связанная с китайскими игроками, использует модульные бэкдоры с общими сертификатами и доменами TLS. Обе группы отражают тенденцию к адаптивной тактике для обеспечения долговременной работы, защищенной от обнаружения.
-----
Недавние расследования деятельности хакеров, спонсируемых государством, в частности Gamaredon и ShadowPad, выявили четкие закономерности в управлении их инфраструктурой и методах работы. Российская хакерская группа Gamaredon, действующая как минимум с 2013 года и известная своими атаками на украинские и западные организации, использует технологию fast flux DNS для сокрытия своей инфраструктуры. Быстрый поток, который может быть одинарным или двойным, предполагает быструю смену связанных IP-адресов при сохранении статических серверов имен или при смене обеих записей соответственно. Этот метод усложняет идентификацию и удаление вредоносных доменов. Продолжающееся использование группой доменов .ru, зарегистрированных через REGRU-RU, демонстрирует обширную и легко адаптируемую инфраструктуру. Недавний анализ выявил более 30 серверов, подключенных к Gamaredon, и выявил поведение DNS, предназначенное для быстрого изменения разрешения IP-адресов; например, такие домены, как innocentmillions.ru, показывали время ожидания всего пять секунд, что позволяло быстро перенаправлять трафик.
Параллельно была также тщательно изучена инфраструктура, подключенная к ShadowPad. ShadowPad - это модульный бэкдор, который обычно ассоциируется с китайскими хакерами, связанными с государственными структурами, и служит надежным показателем активности APT. Недавние данные указывают на то, что серверы, подключенные к ShadowPad, имеют общие сертификаты TLS, некоторые из которых подделаны Microsoft. Было обнаружено, что известный сервер, подключенный к ShadowPad, взаимодействует с доменом, связанным с вредоносной деятельностью, что свидетельствует об изощренности работы группы. Черный ход был обнаружен в ZIP-архиве, известном как Dvx.zip, содержащем множество компонентов, таких как законный, но уязвимый исполняемый файл Windows с подписью и скрипты, предназначенные для выполнения.
Кроме того, связи между ShadowPad и предполагаемым китайским хакером RedFoxtrot были выявлены с помощью общих элементов инфраструктуры и методов снятия отпечатков пальцев. К ним относятся службы динамического DNS и серверы, размещенные на различных известных VPS-провайдерах. Оперативные схемы, продемонстрированные в данном случае, включая использование инфраструктуры, которая выдает себя за законные организации, подчеркивают тщательное планирование и исполнение такими группами, спонсируемыми государством.
Как Gamaredon, так и ShadowPad отражают более широкую тенденцию хакеров, связанных с государственными структурами, к постоянному совершенствованию своей тактики. Использование алгоритмов генерации доменов в сочетании с методами fast flux и тщательным обслуживанием точек доступа демонстрирует их способность обеспечивать длительную работу и при этом оставаться устойчивыми к попыткам обнаружения. Понимание этих технических деталей позволяет получить представление о методологиях, используемых этими группами, что имеет решающее значение для разработки стратегий защиты от таких постоянных угроз.
#ParsedReport #CompletenessHigh
20-04-2025
Exposing Russian EFF Impersonators: The Inside Story on Stealc & Pyramid C2
https://hunt.io/blog/russian-speaking-actors-impersonate-etf-distribute-stealc-pyramid-c2
Report completeness: High
Threats:
Pyramid_c2_tool
Stealc
Opendir
Victims:
Albion online players
Industry:
Entertainment, Government
Geo:
Russian, India
ChatGPT TTPs:
T1566, T1204.002, T1059.001, T1041, T1078.004, T1071.001, T1505.003
IOCs:
Url: 3
IP: 17
File: 2
Domain: 2
Hash: 9
Soft:
Linux, Firefox, Chrome
Algorithms:
zip, base64
Languages:
powershell, python
20-04-2025
Exposing Russian EFF Impersonators: The Inside Story on Stealc & Pyramid C2
https://hunt.io/blog/russian-speaking-actors-impersonate-etf-distribute-stealc-pyramid-c2
Report completeness: High
Threats:
Pyramid_c2_tool
Stealc
Opendir
Victims:
Albion online players
Industry:
Entertainment, Government
Geo:
Russian, India
ChatGPT TTPs:
do not use without manual checkT1566, T1204.002, T1059.001, T1041, T1078.004, T1071.001, T1505.003
IOCs:
Url: 3
IP: 17
File: 2
Domain: 2
Hash: 9
Soft:
Linux, Firefox, Chrome
Algorithms:
zip, base64
Languages:
powershell, python
hunt.io
Exposing the Deception: Russian EFF Impersonators Behind Stealc & Pyramid C2
Discover how an open directory exposed a threat actor impersonating EFF to target gamers and how we mapped their infrastructure to Stealc & Pyramid C2.
CTT Report Hub
#ParsedReport #CompletenessHigh 20-04-2025 Exposing Russian EFF Impersonators: The Inside Story on Stealc & Pyramid C2 https://hunt.io/blog/russian-speaking-actors-impersonate-etf-distribute-stealc-pyramid-c2 Report completeness: High Threats: Pyramid_c2_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В киберкампании, нацеленной на игроков Albion Online, хакер, выдававший себя за EFF, распространял вредоносное по Stealc с помощью фишинговых сообщений и поддельных документов. Анализ выявил инфраструктуру Pyramid C2, которая использовала зашифрованную доставку файлов и такие методы, как базовая аутентификация, для извлечения учетных данных из браузеров. Эта операция, проводимая русскоязычными разработчиками, подчеркивает угрозу, которую представляют для игровых сообществ социальная инженерия и вредоносное ПО.
-----
Расследование кампании, направленной против сообщества онлайн-геймеров, в частности игроков Albion Online, выявило хакера, выдававшего себя за Electronic Frontier Foundation (EFF). В ходе операции использовались поддельные документы для придания достоверности при запуске вредоносного программного обеспечения, в частности вредоносной программы Stealc и серверов командно-диспетчерского управления Pyramid (C2). Анализ каталога незащищенного сервера выявил большое количество вредоносного контента, включая PDF-файлы, ZIP-архивы, сценарии PowerShell и другие признаки, характерные для создания вредоносных программ, такие как имена файлов с двойным расширением. Серверная база была распределена на 11 связанных серверов с помощью общих SSH-ключей, что указывает на единую инфраструктуру, управляемую потенциально русскоязычными разработчиками.
Фишинговые сообщения, выдававшие себя за EFF, распространялись на онлайн-форуме Albion, привлекая игроков доверием под предлогом проверки безопасности аккаунта, что отражало финансовую мотивацию этих атак. Одна из ключевых тактик заключалась в использовании файла быстрого доступа Windows (LNK), который запускал сценарий PowerShell, способный доставлять вредоносное ПО и отвлекать пользователей, создавая видимость подлинного PDF-документа. Этот скрипт был разработан в соответствии с подробным процессом: он облегчил загрузку и выполнение вредоносной полезной нагрузки, которая включала в себя albion.exe, перепрофилированный легитимный исполняемый файл, и 12.py, скрипт на Python, который был подробно прокомментирован на русском языке. Такой комментарий свидетельствует о значительной подготовительной работе со стороны хакера.
Дальнейшее расследование выявило инфраструктуру Pyramid C2, которая использовала доставку зашифрованных файлов, чтобы избежать обнаружения конечными устройствами. В сетевых коммуникациях были обнаружены известные методы, такие как обычная аутентификация и определенный формат ответов JSON. Функциональность вредоносного ПО включала извлечение сохраненных учетных данных из популярных веб-браузеров, таких как Firefox и Chrome, перед передачей этой конфиденциальной информации обратно в C2.
В ходе кампании применялась передовая тактика, направленная на повышение доверия пользователей к известным организациям и использование особенностей игровой среды, что сделало их главными мишенями для финансовых махинаций. Раскрытие информации об их инфраструктуре из-за неправильных настроек позволило глубже понять их деятельность. Как было продемонстрировано, сочетание социальной инженерии, автоматизированных методов фишинга и сложного внедрения вредоносных программ подчеркивает необходимость бдительного мониторинга и проактивной защиты от появляющихся хакеров. Пользователям следует с осторожностью относиться к нежелательным сообщениям, особенно к тем, которые содержат ссылки на известные организации в сфере кибербезопасности, чтобы снизить риски, связанные с такими целенаправленными попытками фишинга.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В киберкампании, нацеленной на игроков Albion Online, хакер, выдававший себя за EFF, распространял вредоносное по Stealc с помощью фишинговых сообщений и поддельных документов. Анализ выявил инфраструктуру Pyramid C2, которая использовала зашифрованную доставку файлов и такие методы, как базовая аутентификация, для извлечения учетных данных из браузеров. Эта операция, проводимая русскоязычными разработчиками, подчеркивает угрозу, которую представляют для игровых сообществ социальная инженерия и вредоносное ПО.
-----
Расследование кампании, направленной против сообщества онлайн-геймеров, в частности игроков Albion Online, выявило хакера, выдававшего себя за Electronic Frontier Foundation (EFF). В ходе операции использовались поддельные документы для придания достоверности при запуске вредоносного программного обеспечения, в частности вредоносной программы Stealc и серверов командно-диспетчерского управления Pyramid (C2). Анализ каталога незащищенного сервера выявил большое количество вредоносного контента, включая PDF-файлы, ZIP-архивы, сценарии PowerShell и другие признаки, характерные для создания вредоносных программ, такие как имена файлов с двойным расширением. Серверная база была распределена на 11 связанных серверов с помощью общих SSH-ключей, что указывает на единую инфраструктуру, управляемую потенциально русскоязычными разработчиками.
Фишинговые сообщения, выдававшие себя за EFF, распространялись на онлайн-форуме Albion, привлекая игроков доверием под предлогом проверки безопасности аккаунта, что отражало финансовую мотивацию этих атак. Одна из ключевых тактик заключалась в использовании файла быстрого доступа Windows (LNK), который запускал сценарий PowerShell, способный доставлять вредоносное ПО и отвлекать пользователей, создавая видимость подлинного PDF-документа. Этот скрипт был разработан в соответствии с подробным процессом: он облегчил загрузку и выполнение вредоносной полезной нагрузки, которая включала в себя albion.exe, перепрофилированный легитимный исполняемый файл, и 12.py, скрипт на Python, который был подробно прокомментирован на русском языке. Такой комментарий свидетельствует о значительной подготовительной работе со стороны хакера.
Дальнейшее расследование выявило инфраструктуру Pyramid C2, которая использовала доставку зашифрованных файлов, чтобы избежать обнаружения конечными устройствами. В сетевых коммуникациях были обнаружены известные методы, такие как обычная аутентификация и определенный формат ответов JSON. Функциональность вредоносного ПО включала извлечение сохраненных учетных данных из популярных веб-браузеров, таких как Firefox и Chrome, перед передачей этой конфиденциальной информации обратно в C2.
В ходе кампании применялась передовая тактика, направленная на повышение доверия пользователей к известным организациям и использование особенностей игровой среды, что сделало их главными мишенями для финансовых махинаций. Раскрытие информации об их инфраструктуре из-за неправильных настроек позволило глубже понять их деятельность. Как было продемонстрировано, сочетание социальной инженерии, автоматизированных методов фишинга и сложного внедрения вредоносных программ подчеркивает необходимость бдительного мониторинга и проактивной защиты от появляющихся хакеров. Пользователям следует с осторожностью относиться к нежелательным сообщениям, особенно к тем, которые содержат ссылки на известные организации в сфере кибербезопасности, чтобы снизить риски, связанные с такими целенаправленными попытками фишинга.
#ParsedReport #CompletenessMedium
20-04-2025
Identifying ClickFix Exploits: A Case Study in Proactive Threat Hunting
https://hunt.io/blog/clickfix-pages-proactive-threat-hunting
Report completeness: Medium
Threats:
Clickfix_technique
Lumma_stealer
Cryptbot_stealer
Credential_harvesting_technique
Geo:
Japanese, London
ChatGPT TTPs:
T1059.001, T1218.005, T1027
IOCs:
File: 1
Domain: 13
Url: 2
IP: 9
Hash: 8
Soft:
Telegram, Steam
Algorithms:
base64, zip
Languages:
javascript, php, powershell
20-04-2025
Identifying ClickFix Exploits: A Case Study in Proactive Threat Hunting
https://hunt.io/blog/clickfix-pages-proactive-threat-hunting
Report completeness: Medium
Threats:
Clickfix_technique
Lumma_stealer
Cryptbot_stealer
Credential_harvesting_technique
Geo:
Japanese, London
ChatGPT TTPs:
do not use without manual checkT1059.001, T1218.005, T1027
IOCs:
File: 1
Domain: 13
Url: 2
IP: 9
Hash: 8
Soft:
Telegram, Steam
Algorithms:
base64, zip
Languages:
javascript, php, powershell
hunt.io
Proactive ClickFix Threat Hunting with Hunt.io
Learn how Hunt.io identifies early-stage ClickFix delivery pages across the web using advanced search capabilities to stay ahead of exploitation attempts.
CTT Report Hub
#ParsedReport #CompletenessMedium 20-04-2025 Identifying ClickFix Exploits: A Case Study in Proactive Threat Hunting https://hunt.io/blog/clickfix-pages-proactive-threat-hunting Report completeness: Medium Threats: Clickfix_technique Lumma_stealer Cryptbot_stealer…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ClickFix - это обманный метод выполнения, который заставляет пользователей выполнять вредоносные команды с помощью поддельных предупреждений, инициируя действия с помощью команд буфера обмена и PowerShell. Различные варианты полезной нагрузки, включая скрипт, связанный с Lumma Stealer, выполняются без использования традиционного вредоносного ПО, напрямую собирая учетные данные пользователя и подчеркивая его адаптивность к атакам без использования файлов.
-----
ClickFix - это обманный метод выполнения, который нацелен на пользователей с помощью знакомых элементов пользовательского интерфейса, эффективно заставляя их выполнять вредоносные команды под видом законных системных запросов. В этом методе часто используются поддельные оповещения, такие как "Исправить сейчас" или "Проверка бота", чтобы инициировать взаимодействие пользователя с событиями щелчка или загрузкой страницы на JavaScript. Процесс атаки начинается с указания пользователям открыть диалоговое окно запуска Windows, используя комбинацию клавиш Windows + R. Затем злоумышленник просит пользователя вставить команду, предварительно загруженную в буфер обмена с помощью JavaScript, и нажать Enter, после чего выполняется полезная нагрузка. Полезная нагрузка часто использует mshta.exe или PowerShell для извлечения и выполнения удаленного сценария.
В попытке упреждающе идентифицировать домены, использующие ClickFix, исследовательская группа использовала HuntSQL для создания структурированных запросов, основанных на наблюдаемом поведении. Эта стратегия привела к обнаружению множества доменов, обслуживающих вредоносный контент, о котором не сообщалось. Используя строки, обычно ассоциирующиеся с такими эксплойтами, защитники могут усилить свои усилия по поиску угроз, расширив параметры запросов и включив в них дополнительные шаблоны, связанные с манипуляциями с буфером обмена и выполнением PowerShell.
Выполнение полезной нагрузки обычно включает в себя сценарий PowerShell в кодировке Base64, который загружает несколько ZIP-архивов, содержащих вредоносные исполняемые файлы. Один из вариантов, отмеченный поставщиками антивирусов как, возможно, связанный с вредоносной программой Lumma Stealer, демонстрирует контролируемую злоумышленником конечную точку для регистрации успешных или неудачных попыток извлечения этих архивов. Другие примеры демонстрируют вариант кражи учетных данных, при котором пользователям предлагается ввести свой адрес электронной почты и пароль непосредственно на веб-странице, маскируясь под запрос на подтверждение. Примечательно, что этот метод позволяет обойти традиционное вредоносное ПО, напрямую собирая конфиденциальные данные пользователя.
Кроме того, ClickFix адаптирован для проведения атак без использования файлов, используя скомпрометированные сайты для передачи команд PowerShell с помощью манипуляций с буфером обмена. Эти изменения подчеркивают универсальность технологии для выполнения полезной нагрузки, кражи учетных данных и промежуточных действий, не полагаясь на традиционную инфраструктуру атаки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ClickFix - это обманный метод выполнения, который заставляет пользователей выполнять вредоносные команды с помощью поддельных предупреждений, инициируя действия с помощью команд буфера обмена и PowerShell. Различные варианты полезной нагрузки, включая скрипт, связанный с Lumma Stealer, выполняются без использования традиционного вредоносного ПО, напрямую собирая учетные данные пользователя и подчеркивая его адаптивность к атакам без использования файлов.
-----
ClickFix - это обманный метод выполнения, который нацелен на пользователей с помощью знакомых элементов пользовательского интерфейса, эффективно заставляя их выполнять вредоносные команды под видом законных системных запросов. В этом методе часто используются поддельные оповещения, такие как "Исправить сейчас" или "Проверка бота", чтобы инициировать взаимодействие пользователя с событиями щелчка или загрузкой страницы на JavaScript. Процесс атаки начинается с указания пользователям открыть диалоговое окно запуска Windows, используя комбинацию клавиш Windows + R. Затем злоумышленник просит пользователя вставить команду, предварительно загруженную в буфер обмена с помощью JavaScript, и нажать Enter, после чего выполняется полезная нагрузка. Полезная нагрузка часто использует mshta.exe или PowerShell для извлечения и выполнения удаленного сценария.
В попытке упреждающе идентифицировать домены, использующие ClickFix, исследовательская группа использовала HuntSQL для создания структурированных запросов, основанных на наблюдаемом поведении. Эта стратегия привела к обнаружению множества доменов, обслуживающих вредоносный контент, о котором не сообщалось. Используя строки, обычно ассоциирующиеся с такими эксплойтами, защитники могут усилить свои усилия по поиску угроз, расширив параметры запросов и включив в них дополнительные шаблоны, связанные с манипуляциями с буфером обмена и выполнением PowerShell.
Выполнение полезной нагрузки обычно включает в себя сценарий PowerShell в кодировке Base64, который загружает несколько ZIP-архивов, содержащих вредоносные исполняемые файлы. Один из вариантов, отмеченный поставщиками антивирусов как, возможно, связанный с вредоносной программой Lumma Stealer, демонстрирует контролируемую злоумышленником конечную точку для регистрации успешных или неудачных попыток извлечения этих архивов. Другие примеры демонстрируют вариант кражи учетных данных, при котором пользователям предлагается ввести свой адрес электронной почты и пароль непосредственно на веб-странице, маскируясь под запрос на подтверждение. Примечательно, что этот метод позволяет обойти традиционное вредоносное ПО, напрямую собирая конфиденциальные данные пользователя.
Кроме того, ClickFix адаптирован для проведения атак без использования файлов, используя скомпрометированные сайты для передачи команд PowerShell с помощью манипуляций с буфером обмена. Эти изменения подчеркивают универсальность технологии для выполнения полезной нагрузки, кражи учетных данных и промежуточных действий, не полагаясь на традиционную инфраструктуру атаки.
#ParsedReport #CompletenessLow
20-04-2025
GoPhish Framework Leveraged to Target Polish Government Regulator and Energy Sector
https://hunt.io/blog/gophish-targets-polish-energy-government
Report completeness: Low
Threats:
Gophish_tool
Credential_harvesting_technique
Supply_chain_technique
Victims:
Polish government regulator, Nomad electric, R.power, Intellectual property law firm, Fitness gym, Catering service, Mercedes-benz
Industry:
Energy, Petroleum, Government
Geo:
Netherlands, Poland, Polish
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566, T1566.001, T1584
IOCs:
Domain: 21
IP: 3
File: 4
Platforms:
intel
Links:
20-04-2025
GoPhish Framework Leveraged to Target Polish Government Regulator and Energy Sector
https://hunt.io/blog/gophish-targets-polish-energy-government
Report completeness: Low
Threats:
Gophish_tool
Credential_harvesting_technique
Supply_chain_technique
Victims:
Polish government regulator, Nomad electric, R.power, Intellectual property law firm, Fitness gym, Catering service, Mercedes-benz
Industry:
Energy, Petroleum, Government
Geo:
Netherlands, Poland, Polish
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1566.001, T1584
IOCs:
Domain: 21
IP: 3
File: 4
Platforms:
intel
Links:
https://github.com/gophish/gophishhunt.io
GoPhish Infrastructure Targets Polish Energy and Government
Explore how the GoPhish framework was leveraged to stage infrastructure and domains spoofing Polish government and energy entities.
CTT Report Hub
#ParsedReport #CompletenessLow 20-04-2025 GoPhish Framework Leveraged to Target Polish Government Regulator and Energy Sector https://hunt.io/blog/gophish-targets-polish-energy-government Report completeness: Low Threats: Gophish_tool Credential_harvesting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Платформа GoPhish используется в фишинговых кампаниях, нацеленных на государственные регулирующие органы Польши и энергетические компании, с идентифицированными доменами, предназначенными для выдачи себя за законные организации. Наличие открытой административной панели и тематическое совпадение с целевыми секторами указывает на подготовку к сбору учетных данных, несмотря на то, что активного фишингового контента обнаружено не было. Постоянное обслуживание этих доменов свидетельствует о готовности к будущим атакам, что подчеркивает необходимость проявлять бдительность в отношении растущих угроз фишинга в секторах с высоким уровнем доверия.
-----
Платформа GoPhish была идентифицирована как инструмент, используемый в фишинговых кампаниях, нацеленных на польские государственные регулирующие органы и организации энергетического сектора. Анализ административно-управленческой инфраструктуры (C2) выявил области, имитирующие польские организации, связанные с рынками электроэнергии и газа, в частности Управление энергетического регулирования (URE) и частную фирму Nomad Electric. Хотя на момент проверки активного фишингового контента обнаружено не было, настройка предполагает целенаправленную подготовку к сбору учетных данных.
В ходе расследования важным выводом стала идентификация домена uregov.pl, который отличается от стандартных польских правительственных соглашений об именовании доменов, что указывает на намерение ввести в заблуждение. Этот домен был преобразован в IP-адрес Microsoft, и дальнейшая проверка выявила открытую административную панель на порту 3333, связанную с платформой GoPhish, которая обычно используется как для проверки законной безопасности, так и для фишинга из-за простоты настройки. Наличие фреймворка в сочетании с дизайном фишинговой инфраструктуры и тематическими элементами означает этап разведки, направленный на выявление целей в энергетическом секторе.
Помимо домена, связанного с URE8, к Nomad Electric были привязаны еще восемь доменов, что указывает на повышенный интерес к коммуникациям энергетического сектора. Домены были зарегистрированы в период с конца 2024 года по февраль 2025 года с использованием регистратора, известного своими злонамеренными действиями. Тематическое совпадение между частной энергетической компанией и национальным регулирующим органом подчеркивает потенциальную возможность фишинговых атак на разных уровнях цепочки поставок, что отражает общую стратегию, направленную на получение конфиденциальных данных.
Расследование также выявило домены, которые выдавали себя за различные бренды, в том числе не связанные с энергетическим сектором, что свидетельствует о более широком оппортунистическом подходе к сбору учетных данных. Хотя во время проверки домены выдали ответ "Страница 404 не найдена", что указывает на отсутствие активного контента на данный момент, текущее обслуживание этих доменов и их конфигураций вызывает опасения по поводу их готовности к будущим фишинговым кампаниям.
Наблюдаемая техническая инфраструктура обладает атрибутами, типичными для фишинговых операций, включая недолговечные сертификаты и изменяемую тему домена, разработанную для обеспечения гибкости. Конфигурация указывает на намерение быстро адаптироваться в ответ на обнаружение или превентивные меры. Мониторинг подозрительных регистраций доменов, которые напоминают внутренние системы или партнеров, наряду с отслеживанием журналов прозрачности сертификатов, остается критически важным для выявления потенциального повторного использования этой инфраструктуры. Отсутствие живого фишингового контента не уменьшает угрозу; постоянная бдительность и правильные защитные меры необходимы для защиты от возникающих угроз фишинга в таких секторах, пользующихся высоким уровнем доверия, как энергетика и юридические услуги.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Платформа GoPhish используется в фишинговых кампаниях, нацеленных на государственные регулирующие органы Польши и энергетические компании, с идентифицированными доменами, предназначенными для выдачи себя за законные организации. Наличие открытой административной панели и тематическое совпадение с целевыми секторами указывает на подготовку к сбору учетных данных, несмотря на то, что активного фишингового контента обнаружено не было. Постоянное обслуживание этих доменов свидетельствует о готовности к будущим атакам, что подчеркивает необходимость проявлять бдительность в отношении растущих угроз фишинга в секторах с высоким уровнем доверия.
-----
Платформа GoPhish была идентифицирована как инструмент, используемый в фишинговых кампаниях, нацеленных на польские государственные регулирующие органы и организации энергетического сектора. Анализ административно-управленческой инфраструктуры (C2) выявил области, имитирующие польские организации, связанные с рынками электроэнергии и газа, в частности Управление энергетического регулирования (URE) и частную фирму Nomad Electric. Хотя на момент проверки активного фишингового контента обнаружено не было, настройка предполагает целенаправленную подготовку к сбору учетных данных.
В ходе расследования важным выводом стала идентификация домена uregov.pl, который отличается от стандартных польских правительственных соглашений об именовании доменов, что указывает на намерение ввести в заблуждение. Этот домен был преобразован в IP-адрес Microsoft, и дальнейшая проверка выявила открытую административную панель на порту 3333, связанную с платформой GoPhish, которая обычно используется как для проверки законной безопасности, так и для фишинга из-за простоты настройки. Наличие фреймворка в сочетании с дизайном фишинговой инфраструктуры и тематическими элементами означает этап разведки, направленный на выявление целей в энергетическом секторе.
Помимо домена, связанного с URE8, к Nomad Electric были привязаны еще восемь доменов, что указывает на повышенный интерес к коммуникациям энергетического сектора. Домены были зарегистрированы в период с конца 2024 года по февраль 2025 года с использованием регистратора, известного своими злонамеренными действиями. Тематическое совпадение между частной энергетической компанией и национальным регулирующим органом подчеркивает потенциальную возможность фишинговых атак на разных уровнях цепочки поставок, что отражает общую стратегию, направленную на получение конфиденциальных данных.
Расследование также выявило домены, которые выдавали себя за различные бренды, в том числе не связанные с энергетическим сектором, что свидетельствует о более широком оппортунистическом подходе к сбору учетных данных. Хотя во время проверки домены выдали ответ "Страница 404 не найдена", что указывает на отсутствие активного контента на данный момент, текущее обслуживание этих доменов и их конфигураций вызывает опасения по поводу их готовности к будущим фишинговым кампаниям.
Наблюдаемая техническая инфраструктура обладает атрибутами, типичными для фишинговых операций, включая недолговечные сертификаты и изменяемую тему домена, разработанную для обеспечения гибкости. Конфигурация указывает на намерение быстро адаптироваться в ответ на обнаружение или превентивные меры. Мониторинг подозрительных регистраций доменов, которые напоминают внутренние системы или партнеров, наряду с отслеживанием журналов прозрачности сертификатов, остается критически важным для выявления потенциального повторного использования этой инфраструктуры. Отсутствие живого фишингового контента не уменьшает угрозу; постоянная бдительность и правильные защитные меры необходимы для защиты от возникающих угроз фишинга в таких секторах, пользующихся высоким уровнем доверия, как энергетика и юридические услуги.
#ParsedReport #CompletenessMedium
20-04-2025
Same Russian-Speaking Threat Actor, New Tactics: Abuse of Cloudflare Services for Phishing and Telegram to Filter Victim IPs
https://hunt.io/blog/russian-actor-cloudflare-phishing-telegram-c2
Report completeness: Medium
Threats:
Pyramid_c2_tool
Victims:
Individuals from a specific community
Industry:
E-commerce
Geo:
Russian
ChatGPT TTPs:
T1566.002, T1204.002, T1036.005, T1027, T1105, T1071.001, T1102.001
IOCs:
IP: 52
Url: 6
File: 2
Domain: 24
Hash: 6
Soft:
Telegram, Windows Explorer, Microsoft Edge
Algorithms:
base64, zip
Languages:
javascript, powershell, python
20-04-2025
Same Russian-Speaking Threat Actor, New Tactics: Abuse of Cloudflare Services for Phishing and Telegram to Filter Victim IPs
https://hunt.io/blog/russian-actor-cloudflare-phishing-telegram-c2
Report completeness: Medium
Threats:
Pyramid_c2_tool
Victims:
Individuals from a specific community
Industry:
E-commerce
Geo:
Russian
ChatGPT TTPs:
do not use without manual checkT1566.002, T1204.002, T1036.005, T1027, T1105, T1071.001, T1102.001
IOCs:
IP: 52
Url: 6
File: 2
Domain: 24
Hash: 6
Soft:
Telegram, Windows Explorer, Microsoft Edge
Algorithms:
base64, zip
Languages:
javascript, powershell, python
hunt.io
Russian-Speaking Threat Actor Abuses Cloudflare & Telegram in Phishing Campaign
Learn how a Russian-speaking threat actor has evolved from impersonating EFF to now deploying Cloudflare-themed phishing with Telegram-based C2.
CTT Report Hub
#ParsedReport #CompletenessMedium 20-04-2025 Same Russian-Speaking Threat Actor, New Tactics: Abuse of Cloudflare Services for Phishing and Telegram to Filter Victim IPs https://hunt.io/blog/russian-actor-cloudflare-phishing-telegram-c2 Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Русскоязычный хакер использует сервисы Cloudflare для фишинговых кампаний с использованием уведомлений DMCA. Они размещают вредоносный файл LNK, замаскированный под PDF, что приводит к подключению к Telegram-боту для отслеживания IP-адресов, в то время как скрипт PowerShell загружает дополнительное вредоносное ПО, используя такие методы, как search-ms: protocol, чтобы избежать обнаружения.
-----
Ранее сообщалось, что наблюдается заметный всплеск активности русскоязычных хакеров, для которых характерна новая тактика, в основном использующая сервисы Cloudflare для фишинга. Недавняя кампания включала распространение фишинговых страниц, тематически связанных с уведомлениями об отмене DMCA, по нескольким доменам, в частности, с использованием доменов верхнего уровня "workers.dev" и "pages.dev", связанных с Cloudflare. Эти страницы созданы для того, чтобы выдавать себя за службы безопасного обмена документами, нацеленные на отдельных лиц в определенных сообществах с целью оказания давления под видом защиты авторских прав.
В ходе атаки используется вредоносный LNK-файл, замаскированный под PDF, который при запуске инициирует подключение к Telegram-боту, управляемому злоумышленником, для отправки IP-адреса жертвы. Затем вредоносное ПО переходит на сервер Pyramid C2 для дальнейшего контроля над зараженным хостом. Цепочка заражения запускается, когда пользователь случайно запускает файл LNK, который запускает скрипт PowerShell, загружающий ZIP-архив из инфраструктуры исполнителя. Этот архив содержит допустимый двоичный файл "python.exe", а также вредоносный скрипт на Python, который устанавливает связь с Pyramid C2.
С точки зрения обфускации, хакер использовал протокол search-ms:, который облегчает загрузку вредоносного контента через законные интерфейсы навигации по файлам Windows, тем самым избегая обнаружения. Этот метод заключается в открытии ложного документа в Microsoft Edge, в то время как вредоносный LNK запускается в фоновом режиме, что приводит к заражению при минимальном взаимодействии с пользователем.
Основной идентифицированный скрипт PowerShell, получивший название "kozlina2.ps1", служит загрузчиком, инициирующим последующие этапы выполнения вредоносной программы. Этот скрипт не только загружает вредоносную полезную информацию, но и передает злоумышленнику внешний IP-адрес зараженной машины через Telegram, используя жестко закодированный токен бота и идентификатор чата. Продолжающаяся интеграция Telegram для создания отчетов по IP-адресам указывает на тактическую эволюцию действий хакеров, повышающую их способность скрывать свою деятельность и препятствовать судебно-медицинскому анализу.
Несмотря на тактические изменения, общий процесс соответствует предыдущим итерациям, связанным с этим действующим лицом, что подчеркивает важность бдительности среди защитников. Такие меры, как мониторинг необычного использования обработчиков протоколов, таких как search-ms:, отслеживание открытых каталогов, обслуживающих поэтапную загрузку, и осведомленность о неправомерном использовании законных сервисов, таких как Cloudflare и Telegram, для киберопераций, имеют решающее значение для противодействия этим сложным угрозам. Продолжающаяся адаптация этого хакерского решения отражает их усилия по предотвращению обнаружения и последствия их растущих оперативных возможностей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Русскоязычный хакер использует сервисы Cloudflare для фишинговых кампаний с использованием уведомлений DMCA. Они размещают вредоносный файл LNK, замаскированный под PDF, что приводит к подключению к Telegram-боту для отслеживания IP-адресов, в то время как скрипт PowerShell загружает дополнительное вредоносное ПО, используя такие методы, как search-ms: protocol, чтобы избежать обнаружения.
-----
Ранее сообщалось, что наблюдается заметный всплеск активности русскоязычных хакеров, для которых характерна новая тактика, в основном использующая сервисы Cloudflare для фишинга. Недавняя кампания включала распространение фишинговых страниц, тематически связанных с уведомлениями об отмене DMCA, по нескольким доменам, в частности, с использованием доменов верхнего уровня "workers.dev" и "pages.dev", связанных с Cloudflare. Эти страницы созданы для того, чтобы выдавать себя за службы безопасного обмена документами, нацеленные на отдельных лиц в определенных сообществах с целью оказания давления под видом защиты авторских прав.
В ходе атаки используется вредоносный LNK-файл, замаскированный под PDF, который при запуске инициирует подключение к Telegram-боту, управляемому злоумышленником, для отправки IP-адреса жертвы. Затем вредоносное ПО переходит на сервер Pyramid C2 для дальнейшего контроля над зараженным хостом. Цепочка заражения запускается, когда пользователь случайно запускает файл LNK, который запускает скрипт PowerShell, загружающий ZIP-архив из инфраструктуры исполнителя. Этот архив содержит допустимый двоичный файл "python.exe", а также вредоносный скрипт на Python, который устанавливает связь с Pyramid C2.
С точки зрения обфускации, хакер использовал протокол search-ms:, который облегчает загрузку вредоносного контента через законные интерфейсы навигации по файлам Windows, тем самым избегая обнаружения. Этот метод заключается в открытии ложного документа в Microsoft Edge, в то время как вредоносный LNK запускается в фоновом режиме, что приводит к заражению при минимальном взаимодействии с пользователем.
Основной идентифицированный скрипт PowerShell, получивший название "kozlina2.ps1", служит загрузчиком, инициирующим последующие этапы выполнения вредоносной программы. Этот скрипт не только загружает вредоносную полезную информацию, но и передает злоумышленнику внешний IP-адрес зараженной машины через Telegram, используя жестко закодированный токен бота и идентификатор чата. Продолжающаяся интеграция Telegram для создания отчетов по IP-адресам указывает на тактическую эволюцию действий хакеров, повышающую их способность скрывать свою деятельность и препятствовать судебно-медицинскому анализу.
Несмотря на тактические изменения, общий процесс соответствует предыдущим итерациям, связанным с этим действующим лицом, что подчеркивает важность бдительности среди защитников. Такие меры, как мониторинг необычного использования обработчиков протоколов, таких как search-ms:, отслеживание открытых каталогов, обслуживающих поэтапную загрузку, и осведомленность о неправомерном использовании законных сервисов, таких как Cloudflare и Telegram, для киберопераций, имеют решающее значение для противодействия этим сложным угрозам. Продолжающаяся адаптация этого хакерского решения отражает их усилия по предотвращению обнаружения и последствия их растущих оперативных возможностей.
#ParsedReport #CompletenessHigh
20-04-2025
DOGE Big Balls Ransomware and the False Connection to Edward Coristine
https://cyble.com/blog/doge-big-balls-ransomware-edward-coristine/
Report completeness: High
Threats:
Netstat_tool
Havoc
Fog_ransomware
Byovd_technique
Shadow_copies_delete_technique
Industry:
Government
CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)
TTPs:
Tactics: 9
Technics: 14
IOCs:
Command: 3
Hash: 17
Url: 5
File: 7
Soft:
Windows kernel
Crypto:
monero
Algorithms:
sha256, zip
Win API:
SeLoadDriverPrivilege, NtLoadDriver
Languages:
powershell
Platforms:
intel
Links:
20-04-2025
DOGE Big Balls Ransomware and the False Connection to Edward Coristine
https://cyble.com/blog/doge-big-balls-ransomware-edward-coristine/
Report completeness: High
Threats:
Netstat_tool
Havoc
Fog_ransomware
Byovd_technique
Shadow_copies_delete_technique
Industry:
Government
CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)
TTPs:
Tactics: 9
Technics: 14
IOCs:
Command: 3
Hash: 17
Url: 5
File: 7
Soft:
Windows kernel
Crypto:
monero
Algorithms:
sha256, zip
Win API:
SeLoadDriverPrivilege, NtLoadDriver
Languages:
powershell
Platforms:
intel
Links:
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/doge\_Big\_Balls\_ransomware.txtCyble
Doge Big Balls Ransomware Edward Coristine
Cyble investigates the DOGE BIG BALLS Ransomware, analyzing its operation and the false ties made to Edward Coristine.
#ParsedReport #CompletenessHigh
20-04-2025
DOGE Big Balls Ransomware and the False Connection to Edward Coristine
https://cyble.com/blog/doge-big-balls-ransomware-edward-coristine/
Report completeness: High
Threats:
Netstat_tool
Havoc
Fog_ransomware
Byovd_technique
Shadow_copies_delete_technique
Industry:
Government
CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)
TTPs:
Tactics: 9
Technics: 14
IOCs:
Command: 3
Hash: 17
Url: 5
File: 7
Soft:
Windows kernel
Crypto:
monero
Algorithms:
sha256, zip
Win API:
SeLoadDriverPrivilege, NtLoadDriver
Languages:
powershell
Platforms:
intel
Links:
20-04-2025
DOGE Big Balls Ransomware and the False Connection to Edward Coristine
https://cyble.com/blog/doge-big-balls-ransomware-edward-coristine/
Report completeness: High
Threats:
Netstat_tool
Havoc
Fog_ransomware
Byovd_technique
Shadow_copies_delete_technique
Industry:
Government
CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)
TTPs:
Tactics: 9
Technics: 14
IOCs:
Command: 3
Hash: 17
Url: 5
File: 7
Soft:
Windows kernel
Crypto:
monero
Algorithms:
sha256, zip
Win API:
SeLoadDriverPrivilege, NtLoadDriver
Languages:
powershell
Platforms:
intel
Links:
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/doge\_Big\_Balls\_ransomware.txtCyble
Doge Big Balls Ransomware Edward Coristine
Cyble investigates the DOGE BIG BALLS Ransomware, analyzing its operation and the false ties made to Edward Coristine.