#ParsedReport #CompletenessHigh
20-04-2025

Exposing Russian EFF Impersonators: The Inside Story on Stealc & Pyramid C2

https://hunt.io/blog/russian-speaking-actors-impersonate-etf-distribute-stealc-pyramid-c2

Report completeness: High

Threats:
Pyramid_c2_tool
Stealc
Opendir

Victims:
Albion online players

Industry:
Entertainment, Government

Geo:
Russian, India

ChatGPT TTPs:
do not use without manual check
T1566, T1204.002, T1059.001, T1041, T1078.004, T1071.001, T1505.003

IOCs:
Url: 3
IP: 17
File: 2
Domain: 2
Hash: 9

Soft:
Linux, Firefox, Chrome

Algorithms:
zip, base64

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В киберкампании, нацеленной на игроков Albion Online, хакер, выдававший себя за EFF, распространял вредоносное по Stealc с помощью фишинговых сообщений и поддельных документов. Анализ выявил инфраструктуру Pyramid C2, которая использовала зашифрованную доставку файлов и такие методы, как базовая аутентификация, для извлечения учетных данных из браузеров. Эта операция, проводимая русскоязычными разработчиками, подчеркивает угрозу, которую представляют для игровых сообществ социальная инженерия и вредоносное ПО.
-----

Расследование кампании, направленной против сообщества онлайн-геймеров, в частности игроков Albion Online, выявило хакера, выдававшего себя за Electronic Frontier Foundation (EFF). В ходе операции использовались поддельные документы для придания достоверности при запуске вредоносного программного обеспечения, в частности вредоносной программы Stealc и серверов командно-диспетчерского управления Pyramid (C2). Анализ каталога незащищенного сервера выявил большое количество вредоносного контента, включая PDF-файлы, ZIP-архивы, сценарии PowerShell и другие признаки, характерные для создания вредоносных программ, такие как имена файлов с двойным расширением. Серверная база была распределена на 11 связанных серверов с помощью общих SSH-ключей, что указывает на единую инфраструктуру, управляемую потенциально русскоязычными разработчиками.

Фишинговые сообщения, выдававшие себя за EFF, распространялись на онлайн-форуме Albion, привлекая игроков доверием под предлогом проверки безопасности аккаунта, что отражало финансовую мотивацию этих атак. Одна из ключевых тактик заключалась в использовании файла быстрого доступа Windows (LNK), который запускал сценарий PowerShell, способный доставлять вредоносное ПО и отвлекать пользователей, создавая видимость подлинного PDF-документа. Этот скрипт был разработан в соответствии с подробным процессом: он облегчил загрузку и выполнение вредоносной полезной нагрузки, которая включала в себя albion.exe, перепрофилированный легитимный исполняемый файл, и 12.py, скрипт на Python, который был подробно прокомментирован на русском языке. Такой комментарий свидетельствует о значительной подготовительной работе со стороны хакера.

Дальнейшее расследование выявило инфраструктуру Pyramid C2, которая использовала доставку зашифрованных файлов, чтобы избежать обнаружения конечными устройствами. В сетевых коммуникациях были обнаружены известные методы, такие как обычная аутентификация и определенный формат ответов JSON. Функциональность вредоносного ПО включала извлечение сохраненных учетных данных из популярных веб-браузеров, таких как Firefox и Chrome, перед передачей этой конфиденциальной информации обратно в C2.

В ходе кампании применялась передовая тактика, направленная на повышение доверия пользователей к известным организациям и использование особенностей игровой среды, что сделало их главными мишенями для финансовых махинаций. Раскрытие информации об их инфраструктуре из-за неправильных настроек позволило глубже понять их деятельность. Как было продемонстрировано, сочетание социальной инженерии, автоматизированных методов фишинга и сложного внедрения вредоносных программ подчеркивает необходимость бдительного мониторинга и проактивной защиты от появляющихся хакеров. Пользователям следует с осторожностью относиться к нежелательным сообщениям, особенно к тем, которые содержат ссылки на известные организации в сфере кибербезопасности, чтобы снизить риски, связанные с такими целенаправленными попытками фишинга.

#ParsedReport #CompletenessMedium
20-04-2025

Identifying ClickFix Exploits: A Case Study in Proactive Threat Hunting

https://hunt.io/blog/clickfix-pages-proactive-threat-hunting

Report completeness: Medium

Threats:
Clickfix_technique
Lumma_stealer
Cryptbot_stealer
Credential_harvesting_technique

Geo:
Japanese, London

ChatGPT TTPs:
do not use without manual check
T1059.001, T1218.005, T1027

IOCs:
File: 1
Domain: 13
Url: 2
IP: 9
Hash: 8

Soft:
Telegram, Steam

Algorithms:
base64, zip

Languages:
javascript, php, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 1, windows: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ClickFix - это обманный метод выполнения, который заставляет пользователей выполнять вредоносные команды с помощью поддельных предупреждений, инициируя действия с помощью команд буфера обмена и PowerShell. Различные варианты полезной нагрузки, включая скрипт, связанный с Lumma Stealer, выполняются без использования традиционного вредоносного ПО, напрямую собирая учетные данные пользователя и подчеркивая его адаптивность к атакам без использования файлов.
-----

ClickFix - это обманный метод выполнения, который нацелен на пользователей с помощью знакомых элементов пользовательского интерфейса, эффективно заставляя их выполнять вредоносные команды под видом законных системных запросов. В этом методе часто используются поддельные оповещения, такие как "Исправить сейчас" или "Проверка бота", чтобы инициировать взаимодействие пользователя с событиями щелчка или загрузкой страницы на JavaScript. Процесс атаки начинается с указания пользователям открыть диалоговое окно запуска Windows, используя комбинацию клавиш Windows + R. Затем злоумышленник просит пользователя вставить команду, предварительно загруженную в буфер обмена с помощью JavaScript, и нажать Enter, после чего выполняется полезная нагрузка. Полезная нагрузка часто использует mshta.exe или PowerShell для извлечения и выполнения удаленного сценария.

В попытке упреждающе идентифицировать домены, использующие ClickFix, исследовательская группа использовала HuntSQL для создания структурированных запросов, основанных на наблюдаемом поведении. Эта стратегия привела к обнаружению множества доменов, обслуживающих вредоносный контент, о котором не сообщалось. Используя строки, обычно ассоциирующиеся с такими эксплойтами, защитники могут усилить свои усилия по поиску угроз, расширив параметры запросов и включив в них дополнительные шаблоны, связанные с манипуляциями с буфером обмена и выполнением PowerShell.

Выполнение полезной нагрузки обычно включает в себя сценарий PowerShell в кодировке Base64, который загружает несколько ZIP-архивов, содержащих вредоносные исполняемые файлы. Один из вариантов, отмеченный поставщиками антивирусов как, возможно, связанный с вредоносной программой Lumma Stealer, демонстрирует контролируемую злоумышленником конечную точку для регистрации успешных или неудачных попыток извлечения этих архивов. Другие примеры демонстрируют вариант кражи учетных данных, при котором пользователям предлагается ввести свой адрес электронной почты и пароль непосредственно на веб-странице, маскируясь под запрос на подтверждение. Примечательно, что этот метод позволяет обойти традиционное вредоносное ПО, напрямую собирая конфиденциальные данные пользователя.

Кроме того, ClickFix адаптирован для проведения атак без использования файлов, используя скомпрометированные сайты для передачи команд PowerShell с помощью манипуляций с буфером обмена. Эти изменения подчеркивают универсальность технологии для выполнения полезной нагрузки, кражи учетных данных и промежуточных действий, не полагаясь на традиционную инфраструктуру атаки.

#ParsedReport #CompletenessLow
20-04-2025

GoPhish Framework Leveraged to Target Polish Government Regulator and Energy Sector

https://hunt.io/blog/gophish-targets-polish-energy-government

Report completeness: Low

Threats:
Gophish_tool
Credential_harvesting_technique
Supply_chain_technique

Victims:
Polish government regulator, Nomad electric, R.power, Intellectual property law firm, Fitness gym, Catering service, Mercedes-benz

Industry:
Energy, Petroleum, Government

Geo:
Netherlands, Poland, Polish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1584

IOCs:
Domain: 21
IP: 3
File: 4

Platforms:
intel

Links:
https://github.com/gophish/gophish

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа GoPhish используется в фишинговых кампаниях, нацеленных на государственные регулирующие органы Польши и энергетические компании, с идентифицированными доменами, предназначенными для выдачи себя за законные организации. Наличие открытой административной панели и тематическое совпадение с целевыми секторами указывает на подготовку к сбору учетных данных, несмотря на то, что активного фишингового контента обнаружено не было. Постоянное обслуживание этих доменов свидетельствует о готовности к будущим атакам, что подчеркивает необходимость проявлять бдительность в отношении растущих угроз фишинга в секторах с высоким уровнем доверия.
-----

Платформа GoPhish была идентифицирована как инструмент, используемый в фишинговых кампаниях, нацеленных на польские государственные регулирующие органы и организации энергетического сектора. Анализ административно-управленческой инфраструктуры (C2) выявил области, имитирующие польские организации, связанные с рынками электроэнергии и газа, в частности Управление энергетического регулирования (URE) и частную фирму Nomad Electric. Хотя на момент проверки активного фишингового контента обнаружено не было, настройка предполагает целенаправленную подготовку к сбору учетных данных.

В ходе расследования важным выводом стала идентификация домена uregov.pl, который отличается от стандартных польских правительственных соглашений об именовании доменов, что указывает на намерение ввести в заблуждение. Этот домен был преобразован в IP-адрес Microsoft, и дальнейшая проверка выявила открытую административную панель на порту 3333, связанную с платформой GoPhish, которая обычно используется как для проверки законной безопасности, так и для фишинга из-за простоты настройки. Наличие фреймворка в сочетании с дизайном фишинговой инфраструктуры и тематическими элементами означает этап разведки, направленный на выявление целей в энергетическом секторе.

Помимо домена, связанного с URE8, к Nomad Electric были привязаны еще восемь доменов, что указывает на повышенный интерес к коммуникациям энергетического сектора. Домены были зарегистрированы в период с конца 2024 года по февраль 2025 года с использованием регистратора, известного своими злонамеренными действиями. Тематическое совпадение между частной энергетической компанией и национальным регулирующим органом подчеркивает потенциальную возможность фишинговых атак на разных уровнях цепочки поставок, что отражает общую стратегию, направленную на получение конфиденциальных данных.

Расследование также выявило домены, которые выдавали себя за различные бренды, в том числе не связанные с энергетическим сектором, что свидетельствует о более широком оппортунистическом подходе к сбору учетных данных. Хотя во время проверки домены выдали ответ "Страница 404 не найдена", что указывает на отсутствие активного контента на данный момент, текущее обслуживание этих доменов и их конфигураций вызывает опасения по поводу их готовности к будущим фишинговым кампаниям.

Наблюдаемая техническая инфраструктура обладает атрибутами, типичными для фишинговых операций, включая недолговечные сертификаты и изменяемую тему домена, разработанную для обеспечения гибкости. Конфигурация указывает на намерение быстро адаптироваться в ответ на обнаружение или превентивные меры. Мониторинг подозрительных регистраций доменов, которые напоминают внутренние системы или партнеров, наряду с отслеживанием журналов прозрачности сертификатов, остается критически важным для выявления потенциального повторного использования этой инфраструктуры. Отсутствие живого фишингового контента не уменьшает угрозу; постоянная бдительность и правильные защитные меры необходимы для защиты от возникающих угроз фишинга в таких секторах, пользующихся высоким уровнем доверия, как энергетика и юридические услуги.

#ParsedReport #CompletenessMedium
20-04-2025

Same Russian-Speaking Threat Actor, New Tactics: Abuse of Cloudflare Services for Phishing and Telegram to Filter Victim IPs

https://hunt.io/blog/russian-actor-cloudflare-phishing-telegram-c2

Report completeness: Medium

Threats:
Pyramid_c2_tool

Victims:
Individuals from a specific community

Industry:
E-commerce

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1566.002, T1204.002, T1036.005, T1027, T1105, T1071.001, T1102.001

IOCs:
IP: 52
Url: 6
File: 2
Domain: 24
Hash: 6

Soft:
Telegram, Windows Explorer, Microsoft Edge

Algorithms:
base64, zip

Languages:
javascript, powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Русскоязычный хакер использует сервисы Cloudflare для фишинговых кампаний с использованием уведомлений DMCA. Они размещают вредоносный файл LNK, замаскированный под PDF, что приводит к подключению к Telegram-боту для отслеживания IP-адресов, в то время как скрипт PowerShell загружает дополнительное вредоносное ПО, используя такие методы, как search-ms: protocol, чтобы избежать обнаружения.
-----

Ранее сообщалось, что наблюдается заметный всплеск активности русскоязычных хакеров, для которых характерна новая тактика, в основном использующая сервисы Cloudflare для фишинга. Недавняя кампания включала распространение фишинговых страниц, тематически связанных с уведомлениями об отмене DMCA, по нескольким доменам, в частности, с использованием доменов верхнего уровня "workers.dev" и "pages.dev", связанных с Cloudflare. Эти страницы созданы для того, чтобы выдавать себя за службы безопасного обмена документами, нацеленные на отдельных лиц в определенных сообществах с целью оказания давления под видом защиты авторских прав.

В ходе атаки используется вредоносный LNK-файл, замаскированный под PDF, который при запуске инициирует подключение к Telegram-боту, управляемому злоумышленником, для отправки IP-адреса жертвы. Затем вредоносное ПО переходит на сервер Pyramid C2 для дальнейшего контроля над зараженным хостом. Цепочка заражения запускается, когда пользователь случайно запускает файл LNK, который запускает скрипт PowerShell, загружающий ZIP-архив из инфраструктуры исполнителя. Этот архив содержит допустимый двоичный файл "python.exe", а также вредоносный скрипт на Python, который устанавливает связь с Pyramid C2.

С точки зрения обфускации, хакер использовал протокол search-ms:, который облегчает загрузку вредоносного контента через законные интерфейсы навигации по файлам Windows, тем самым избегая обнаружения. Этот метод заключается в открытии ложного документа в Microsoft Edge, в то время как вредоносный LNK запускается в фоновом режиме, что приводит к заражению при минимальном взаимодействии с пользователем.

Основной идентифицированный скрипт PowerShell, получивший название "kozlina2.ps1", служит загрузчиком, инициирующим последующие этапы выполнения вредоносной программы. Этот скрипт не только загружает вредоносную полезную информацию, но и передает злоумышленнику внешний IP-адрес зараженной машины через Telegram, используя жестко закодированный токен бота и идентификатор чата. Продолжающаяся интеграция Telegram для создания отчетов по IP-адресам указывает на тактическую эволюцию действий хакеров, повышающую их способность скрывать свою деятельность и препятствовать судебно-медицинскому анализу.

Несмотря на тактические изменения, общий процесс соответствует предыдущим итерациям, связанным с этим действующим лицом, что подчеркивает важность бдительности среди защитников. Такие меры, как мониторинг необычного использования обработчиков протоколов, таких как search-ms:, отслеживание открытых каталогов, обслуживающих поэтапную загрузку, и осведомленность о неправомерном использовании законных сервисов, таких как Cloudflare и Telegram, для киберопераций, имеют решающее значение для противодействия этим сложным угрозам. Продолжающаяся адаптация этого хакерского решения отражает их усилия по предотвращению обнаружения и последствия их растущих оперативных возможностей.

#ParsedReport #CompletenessHigh
20-04-2025

DOGE Big Balls Ransomware and the False Connection to Edward Coristine

https://cyble.com/blog/doge-big-balls-ransomware-edward-coristine/

Report completeness: High

Threats:
Netstat_tool
Havoc
Fog_ransomware
Byovd_technique
Shadow_copies_delete_technique

Industry:
Government

CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)


TTPs:
Tactics: 9
Technics: 14

IOCs:
Command: 3
Hash: 17
Url: 5
File: 7

Soft:
Windows kernel

Crypto:
monero

Algorithms:
sha256, zip

Win API:
SeLoadDriverPrivilege, NtLoadDriver

Languages:
powershell

Platforms:
intel

Links:
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/doge\_Big\_Balls\_ransomware.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 11, windows: 1

#ParsedReport #CompletenessHigh
20-04-2025

DOGE Big Balls Ransomware and the False Connection to Edward Coristine

https://cyble.com/blog/doge-big-balls-ransomware-edward-coristine/

Report completeness: High

Threats:
Netstat_tool
Havoc
Fog_ransomware
Byovd_technique
Shadow_copies_delete_technique

Industry:
Government

CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)


TTPs:
Tactics: 9
Technics: 14

IOCs:
Command: 3
Hash: 17
Url: 5
File: 7

Soft:
Windows kernel

Crypto:
monero

Algorithms:
sha256, zip

Win API:
SeLoadDriverPrivilege, NtLoadDriver

Languages:
powershell

Platforms:
intel

Links:
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/doge\_Big\_Balls\_ransomware.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 11, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель DOGE BIG BALLS использует многогранные методы атаки, включая обманчивое сочетание клавиш LNK для выполнения команд PowerShell для доставки полезной информации в память. Он использует уязвимость в драйвере Intel CVE-2015-2291 для повышения привилегий и применяет меры защиты от обнаружения при регистрации системной информации, чтобы адаптировать свои атаки и облегчить перемещение по сети.
-----

Программа-вымогатель DOGE BIG BALLS - это изощренный хакерский инструмент, предназначенный для шифрования систем жертв и использующий разнообразные методы скрытной атаки. Атака начинается с получения заманчивого ZIP-файла, содержащего обманчивый ярлык LNK, который маскируется под законный документ. При выполнении это сочетание клавиш автоматически запускает цепочку команд PowerShell, которые загружают и выполняют полезную нагрузку программы-вымогателя в память, сводя к минимуму ее воздействие на систему жертвы.

В основе этой программы-вымогателя лежит использование уязвимости в драйвере Intel (CVE-2015-2291) с использованием метода создания собственного уязвимого драйвера (BYOVD). Такой подход позволяет хакеру получить разрешения на уровне ядра для повышения привилегий, что обеспечивает широкий контроль над системой. Полезная нагрузка представляет собой разновидность программы-вымогателя Fog, получившую название "DOGE BIG BALLS Ransomware", которая включает в себя психологические элементы, предназначенные для запутывания или запугивания жертв. В соглашении об именовании программы-вымогателя содержатся ссылки на общественную фигуру, что указывает на преднамеренную стратегию введения в заблуждение или отвлечения внимания во время восстановления.

Атака тщательно спланирована, в качестве организатора выступает скрипт PowerShell "stage1.ps1", который проверяет наличие административных прав. Если они предоставлены, он создает скрытый каталог в папке автозагрузки Windows и загружает вредоносные двоичные файлы, замаскированные под законные приложения. К ним относится полезная нагрузка программы-вымогателя, сохраненная как "Adobe Acrobat.exe", что облегчает выполнение, не вызывая подозрений. Кроме того, скрипт извлекает "ktool.exe", который служит средством эксплойта ядра, которое при запуске использует вышеупомянутый драйвер для дальнейшего повышения привилегий и отключения механизмов ведения журнала безопасности.

Функциональность программы-вымогателя включает в себя сбор обширной системной информации, которая заносится в специальный файл. Этот этап разведки помогает злоумышленникам адаптировать свои действия в зависимости от конкретной среды. После сбора необходимых данных программа приступает к шифрованию файлов в соответствии с предопределенными параметрами, такими как целевые типы файлов и другие рабочие конфигурации.

Важным аспектом этой атаки является встроенный в вредоносный инструментарий маяк Havoc C2, указывающий на возможные будущие действия хакера. Маяк предназначен для обеспечения долгосрочного доступа и контроля после расшифровки, что предполагает расширенные возможности для перемещения в сети жертвы. Сложность работы еще больше подчеркивается использованием мер защиты от обнаружения, таких как защитные барьеры выполнения, которые проверяют контекст выполнения для снижения риска анализа или обнаружения в изолированной среде.

#ParsedReport #CompletenessMedium
21-04-2025

Lumma Stealer Tracking distribution channels

https://securelist.com/lumma-fake-captcha-attacks-analysis/116274/

Report completeness: Medium

Threats:
Lumma_stealer
Dll_sideloading_technique
Anydesk_tool

Industry:
E-commerce

Geo:
Italy

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1059.001, T1140, T1574.002, T1203, T1112, T1027, T1071.001

IOCs:
File: 12
Url: 4
Path: 1
Registry: 1
Domain: 20

Soft:
Telegram, Windows Registry, nsis installer, KeePass

Wallets:
metamask

Crypto:
binance, ethereum

Algorithms:
zip, lznt1, rc4, base64

Languages:
autoit, powershell, javascript, python

Links:
https://github.com/digitalsleuth/autoit-extractor

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 9, dump: 1