#ParsedReport #CompletenessLow
20-04-2025
GoPhish Framework Leveraged to Target Polish Government Regulator and Energy Sector
https://hunt.io/blog/gophish-targets-polish-energy-government
Report completeness: Low
Threats:
Gophish_tool
Credential_harvesting_technique
Supply_chain_technique
Victims:
Polish government regulator, Nomad electric, R.power, Intellectual property law firm, Fitness gym, Catering service, Mercedes-benz
Industry:
Energy, Petroleum, Government
Geo:
Netherlands, Poland, Polish
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566, T1566.001, T1584
IOCs:
Domain: 21
IP: 3
File: 4
Platforms:
intel
Links:
20-04-2025
GoPhish Framework Leveraged to Target Polish Government Regulator and Energy Sector
https://hunt.io/blog/gophish-targets-polish-energy-government
Report completeness: Low
Threats:
Gophish_tool
Credential_harvesting_technique
Supply_chain_technique
Victims:
Polish government regulator, Nomad electric, R.power, Intellectual property law firm, Fitness gym, Catering service, Mercedes-benz
Industry:
Energy, Petroleum, Government
Geo:
Netherlands, Poland, Polish
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566, T1566.001, T1584
IOCs:
Domain: 21
IP: 3
File: 4
Platforms:
intel
Links:
https://github.com/gophish/gophishhunt.io
GoPhish Infrastructure Targets Polish Energy and Government
Explore how the GoPhish framework was leveraged to stage infrastructure and domains spoofing Polish government and energy entities.
CTT Report Hub
#ParsedReport #CompletenessLow 20-04-2025 GoPhish Framework Leveraged to Target Polish Government Regulator and Energy Sector https://hunt.io/blog/gophish-targets-polish-energy-government Report completeness: Low Threats: Gophish_tool Credential_harvesting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Платформа GoPhish используется в фишинговых кампаниях, нацеленных на государственные регулирующие органы Польши и энергетические компании, с идентифицированными доменами, предназначенными для выдачи себя за законные организации. Наличие открытой административной панели и тематическое совпадение с целевыми секторами указывает на подготовку к сбору учетных данных, несмотря на то, что активного фишингового контента обнаружено не было. Постоянное обслуживание этих доменов свидетельствует о готовности к будущим атакам, что подчеркивает необходимость проявлять бдительность в отношении растущих угроз фишинга в секторах с высоким уровнем доверия.
-----
Платформа GoPhish была идентифицирована как инструмент, используемый в фишинговых кампаниях, нацеленных на польские государственные регулирующие органы и организации энергетического сектора. Анализ административно-управленческой инфраструктуры (C2) выявил области, имитирующие польские организации, связанные с рынками электроэнергии и газа, в частности Управление энергетического регулирования (URE) и частную фирму Nomad Electric. Хотя на момент проверки активного фишингового контента обнаружено не было, настройка предполагает целенаправленную подготовку к сбору учетных данных.
В ходе расследования важным выводом стала идентификация домена uregov.pl, который отличается от стандартных польских правительственных соглашений об именовании доменов, что указывает на намерение ввести в заблуждение. Этот домен был преобразован в IP-адрес Microsoft, и дальнейшая проверка выявила открытую административную панель на порту 3333, связанную с платформой GoPhish, которая обычно используется как для проверки законной безопасности, так и для фишинга из-за простоты настройки. Наличие фреймворка в сочетании с дизайном фишинговой инфраструктуры и тематическими элементами означает этап разведки, направленный на выявление целей в энергетическом секторе.
Помимо домена, связанного с URE8, к Nomad Electric были привязаны еще восемь доменов, что указывает на повышенный интерес к коммуникациям энергетического сектора. Домены были зарегистрированы в период с конца 2024 года по февраль 2025 года с использованием регистратора, известного своими злонамеренными действиями. Тематическое совпадение между частной энергетической компанией и национальным регулирующим органом подчеркивает потенциальную возможность фишинговых атак на разных уровнях цепочки поставок, что отражает общую стратегию, направленную на получение конфиденциальных данных.
Расследование также выявило домены, которые выдавали себя за различные бренды, в том числе не связанные с энергетическим сектором, что свидетельствует о более широком оппортунистическом подходе к сбору учетных данных. Хотя во время проверки домены выдали ответ "Страница 404 не найдена", что указывает на отсутствие активного контента на данный момент, текущее обслуживание этих доменов и их конфигураций вызывает опасения по поводу их готовности к будущим фишинговым кампаниям.
Наблюдаемая техническая инфраструктура обладает атрибутами, типичными для фишинговых операций, включая недолговечные сертификаты и изменяемую тему домена, разработанную для обеспечения гибкости. Конфигурация указывает на намерение быстро адаптироваться в ответ на обнаружение или превентивные меры. Мониторинг подозрительных регистраций доменов, которые напоминают внутренние системы или партнеров, наряду с отслеживанием журналов прозрачности сертификатов, остается критически важным для выявления потенциального повторного использования этой инфраструктуры. Отсутствие живого фишингового контента не уменьшает угрозу; постоянная бдительность и правильные защитные меры необходимы для защиты от возникающих угроз фишинга в таких секторах, пользующихся высоким уровнем доверия, как энергетика и юридические услуги.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Платформа GoPhish используется в фишинговых кампаниях, нацеленных на государственные регулирующие органы Польши и энергетические компании, с идентифицированными доменами, предназначенными для выдачи себя за законные организации. Наличие открытой административной панели и тематическое совпадение с целевыми секторами указывает на подготовку к сбору учетных данных, несмотря на то, что активного фишингового контента обнаружено не было. Постоянное обслуживание этих доменов свидетельствует о готовности к будущим атакам, что подчеркивает необходимость проявлять бдительность в отношении растущих угроз фишинга в секторах с высоким уровнем доверия.
-----
Платформа GoPhish была идентифицирована как инструмент, используемый в фишинговых кампаниях, нацеленных на польские государственные регулирующие органы и организации энергетического сектора. Анализ административно-управленческой инфраструктуры (C2) выявил области, имитирующие польские организации, связанные с рынками электроэнергии и газа, в частности Управление энергетического регулирования (URE) и частную фирму Nomad Electric. Хотя на момент проверки активного фишингового контента обнаружено не было, настройка предполагает целенаправленную подготовку к сбору учетных данных.
В ходе расследования важным выводом стала идентификация домена uregov.pl, который отличается от стандартных польских правительственных соглашений об именовании доменов, что указывает на намерение ввести в заблуждение. Этот домен был преобразован в IP-адрес Microsoft, и дальнейшая проверка выявила открытую административную панель на порту 3333, связанную с платформой GoPhish, которая обычно используется как для проверки законной безопасности, так и для фишинга из-за простоты настройки. Наличие фреймворка в сочетании с дизайном фишинговой инфраструктуры и тематическими элементами означает этап разведки, направленный на выявление целей в энергетическом секторе.
Помимо домена, связанного с URE8, к Nomad Electric были привязаны еще восемь доменов, что указывает на повышенный интерес к коммуникациям энергетического сектора. Домены были зарегистрированы в период с конца 2024 года по февраль 2025 года с использованием регистратора, известного своими злонамеренными действиями. Тематическое совпадение между частной энергетической компанией и национальным регулирующим органом подчеркивает потенциальную возможность фишинговых атак на разных уровнях цепочки поставок, что отражает общую стратегию, направленную на получение конфиденциальных данных.
Расследование также выявило домены, которые выдавали себя за различные бренды, в том числе не связанные с энергетическим сектором, что свидетельствует о более широком оппортунистическом подходе к сбору учетных данных. Хотя во время проверки домены выдали ответ "Страница 404 не найдена", что указывает на отсутствие активного контента на данный момент, текущее обслуживание этих доменов и их конфигураций вызывает опасения по поводу их готовности к будущим фишинговым кампаниям.
Наблюдаемая техническая инфраструктура обладает атрибутами, типичными для фишинговых операций, включая недолговечные сертификаты и изменяемую тему домена, разработанную для обеспечения гибкости. Конфигурация указывает на намерение быстро адаптироваться в ответ на обнаружение или превентивные меры. Мониторинг подозрительных регистраций доменов, которые напоминают внутренние системы или партнеров, наряду с отслеживанием журналов прозрачности сертификатов, остается критически важным для выявления потенциального повторного использования этой инфраструктуры. Отсутствие живого фишингового контента не уменьшает угрозу; постоянная бдительность и правильные защитные меры необходимы для защиты от возникающих угроз фишинга в таких секторах, пользующихся высоким уровнем доверия, как энергетика и юридические услуги.
#ParsedReport #CompletenessMedium
20-04-2025
Same Russian-Speaking Threat Actor, New Tactics: Abuse of Cloudflare Services for Phishing and Telegram to Filter Victim IPs
https://hunt.io/blog/russian-actor-cloudflare-phishing-telegram-c2
Report completeness: Medium
Threats:
Pyramid_c2_tool
Victims:
Individuals from a specific community
Industry:
E-commerce
Geo:
Russian
ChatGPT TTPs:
T1566.002, T1204.002, T1036.005, T1027, T1105, T1071.001, T1102.001
IOCs:
IP: 52
Url: 6
File: 2
Domain: 24
Hash: 6
Soft:
Telegram, Windows Explorer, Microsoft Edge
Algorithms:
base64, zip
Languages:
javascript, powershell, python
20-04-2025
Same Russian-Speaking Threat Actor, New Tactics: Abuse of Cloudflare Services for Phishing and Telegram to Filter Victim IPs
https://hunt.io/blog/russian-actor-cloudflare-phishing-telegram-c2
Report completeness: Medium
Threats:
Pyramid_c2_tool
Victims:
Individuals from a specific community
Industry:
E-commerce
Geo:
Russian
ChatGPT TTPs:
do not use without manual checkT1566.002, T1204.002, T1036.005, T1027, T1105, T1071.001, T1102.001
IOCs:
IP: 52
Url: 6
File: 2
Domain: 24
Hash: 6
Soft:
Telegram, Windows Explorer, Microsoft Edge
Algorithms:
base64, zip
Languages:
javascript, powershell, python
hunt.io
Russian-Speaking Threat Actor Abuses Cloudflare & Telegram in Phishing Campaign
Learn how a Russian-speaking threat actor has evolved from impersonating EFF to now deploying Cloudflare-themed phishing with Telegram-based C2.
CTT Report Hub
#ParsedReport #CompletenessMedium 20-04-2025 Same Russian-Speaking Threat Actor, New Tactics: Abuse of Cloudflare Services for Phishing and Telegram to Filter Victim IPs https://hunt.io/blog/russian-actor-cloudflare-phishing-telegram-c2 Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Русскоязычный хакер использует сервисы Cloudflare для фишинговых кампаний с использованием уведомлений DMCA. Они размещают вредоносный файл LNK, замаскированный под PDF, что приводит к подключению к Telegram-боту для отслеживания IP-адресов, в то время как скрипт PowerShell загружает дополнительное вредоносное ПО, используя такие методы, как search-ms: protocol, чтобы избежать обнаружения.
-----
Ранее сообщалось, что наблюдается заметный всплеск активности русскоязычных хакеров, для которых характерна новая тактика, в основном использующая сервисы Cloudflare для фишинга. Недавняя кампания включала распространение фишинговых страниц, тематически связанных с уведомлениями об отмене DMCA, по нескольким доменам, в частности, с использованием доменов верхнего уровня "workers.dev" и "pages.dev", связанных с Cloudflare. Эти страницы созданы для того, чтобы выдавать себя за службы безопасного обмена документами, нацеленные на отдельных лиц в определенных сообществах с целью оказания давления под видом защиты авторских прав.
В ходе атаки используется вредоносный LNK-файл, замаскированный под PDF, который при запуске инициирует подключение к Telegram-боту, управляемому злоумышленником, для отправки IP-адреса жертвы. Затем вредоносное ПО переходит на сервер Pyramid C2 для дальнейшего контроля над зараженным хостом. Цепочка заражения запускается, когда пользователь случайно запускает файл LNK, который запускает скрипт PowerShell, загружающий ZIP-архив из инфраструктуры исполнителя. Этот архив содержит допустимый двоичный файл "python.exe", а также вредоносный скрипт на Python, который устанавливает связь с Pyramid C2.
С точки зрения обфускации, хакер использовал протокол search-ms:, который облегчает загрузку вредоносного контента через законные интерфейсы навигации по файлам Windows, тем самым избегая обнаружения. Этот метод заключается в открытии ложного документа в Microsoft Edge, в то время как вредоносный LNK запускается в фоновом режиме, что приводит к заражению при минимальном взаимодействии с пользователем.
Основной идентифицированный скрипт PowerShell, получивший название "kozlina2.ps1", служит загрузчиком, инициирующим последующие этапы выполнения вредоносной программы. Этот скрипт не только загружает вредоносную полезную информацию, но и передает злоумышленнику внешний IP-адрес зараженной машины через Telegram, используя жестко закодированный токен бота и идентификатор чата. Продолжающаяся интеграция Telegram для создания отчетов по IP-адресам указывает на тактическую эволюцию действий хакеров, повышающую их способность скрывать свою деятельность и препятствовать судебно-медицинскому анализу.
Несмотря на тактические изменения, общий процесс соответствует предыдущим итерациям, связанным с этим действующим лицом, что подчеркивает важность бдительности среди защитников. Такие меры, как мониторинг необычного использования обработчиков протоколов, таких как search-ms:, отслеживание открытых каталогов, обслуживающих поэтапную загрузку, и осведомленность о неправомерном использовании законных сервисов, таких как Cloudflare и Telegram, для киберопераций, имеют решающее значение для противодействия этим сложным угрозам. Продолжающаяся адаптация этого хакерского решения отражает их усилия по предотвращению обнаружения и последствия их растущих оперативных возможностей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Русскоязычный хакер использует сервисы Cloudflare для фишинговых кампаний с использованием уведомлений DMCA. Они размещают вредоносный файл LNK, замаскированный под PDF, что приводит к подключению к Telegram-боту для отслеживания IP-адресов, в то время как скрипт PowerShell загружает дополнительное вредоносное ПО, используя такие методы, как search-ms: protocol, чтобы избежать обнаружения.
-----
Ранее сообщалось, что наблюдается заметный всплеск активности русскоязычных хакеров, для которых характерна новая тактика, в основном использующая сервисы Cloudflare для фишинга. Недавняя кампания включала распространение фишинговых страниц, тематически связанных с уведомлениями об отмене DMCA, по нескольким доменам, в частности, с использованием доменов верхнего уровня "workers.dev" и "pages.dev", связанных с Cloudflare. Эти страницы созданы для того, чтобы выдавать себя за службы безопасного обмена документами, нацеленные на отдельных лиц в определенных сообществах с целью оказания давления под видом защиты авторских прав.
В ходе атаки используется вредоносный LNK-файл, замаскированный под PDF, который при запуске инициирует подключение к Telegram-боту, управляемому злоумышленником, для отправки IP-адреса жертвы. Затем вредоносное ПО переходит на сервер Pyramid C2 для дальнейшего контроля над зараженным хостом. Цепочка заражения запускается, когда пользователь случайно запускает файл LNK, который запускает скрипт PowerShell, загружающий ZIP-архив из инфраструктуры исполнителя. Этот архив содержит допустимый двоичный файл "python.exe", а также вредоносный скрипт на Python, который устанавливает связь с Pyramid C2.
С точки зрения обфускации, хакер использовал протокол search-ms:, который облегчает загрузку вредоносного контента через законные интерфейсы навигации по файлам Windows, тем самым избегая обнаружения. Этот метод заключается в открытии ложного документа в Microsoft Edge, в то время как вредоносный LNK запускается в фоновом режиме, что приводит к заражению при минимальном взаимодействии с пользователем.
Основной идентифицированный скрипт PowerShell, получивший название "kozlina2.ps1", служит загрузчиком, инициирующим последующие этапы выполнения вредоносной программы. Этот скрипт не только загружает вредоносную полезную информацию, но и передает злоумышленнику внешний IP-адрес зараженной машины через Telegram, используя жестко закодированный токен бота и идентификатор чата. Продолжающаяся интеграция Telegram для создания отчетов по IP-адресам указывает на тактическую эволюцию действий хакеров, повышающую их способность скрывать свою деятельность и препятствовать судебно-медицинскому анализу.
Несмотря на тактические изменения, общий процесс соответствует предыдущим итерациям, связанным с этим действующим лицом, что подчеркивает важность бдительности среди защитников. Такие меры, как мониторинг необычного использования обработчиков протоколов, таких как search-ms:, отслеживание открытых каталогов, обслуживающих поэтапную загрузку, и осведомленность о неправомерном использовании законных сервисов, таких как Cloudflare и Telegram, для киберопераций, имеют решающее значение для противодействия этим сложным угрозам. Продолжающаяся адаптация этого хакерского решения отражает их усилия по предотвращению обнаружения и последствия их растущих оперативных возможностей.
#ParsedReport #CompletenessHigh
20-04-2025
DOGE Big Balls Ransomware and the False Connection to Edward Coristine
https://cyble.com/blog/doge-big-balls-ransomware-edward-coristine/
Report completeness: High
Threats:
Netstat_tool
Havoc
Fog_ransomware
Byovd_technique
Shadow_copies_delete_technique
Industry:
Government
CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)
TTPs:
Tactics: 9
Technics: 14
IOCs:
Command: 3
Hash: 17
Url: 5
File: 7
Soft:
Windows kernel
Crypto:
monero
Algorithms:
sha256, zip
Win API:
SeLoadDriverPrivilege, NtLoadDriver
Languages:
powershell
Platforms:
intel
Links:
20-04-2025
DOGE Big Balls Ransomware and the False Connection to Edward Coristine
https://cyble.com/blog/doge-big-balls-ransomware-edward-coristine/
Report completeness: High
Threats:
Netstat_tool
Havoc
Fog_ransomware
Byovd_technique
Shadow_copies_delete_technique
Industry:
Government
CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)
TTPs:
Tactics: 9
Technics: 14
IOCs:
Command: 3
Hash: 17
Url: 5
File: 7
Soft:
Windows kernel
Crypto:
monero
Algorithms:
sha256, zip
Win API:
SeLoadDriverPrivilege, NtLoadDriver
Languages:
powershell
Platforms:
intel
Links:
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/doge\_Big\_Balls\_ransomware.txtCyble
Doge Big Balls Ransomware Edward Coristine
Cyble investigates the DOGE BIG BALLS Ransomware, analyzing its operation and the false ties made to Edward Coristine.
#ParsedReport #CompletenessHigh
20-04-2025
DOGE Big Balls Ransomware and the False Connection to Edward Coristine
https://cyble.com/blog/doge-big-balls-ransomware-edward-coristine/
Report completeness: High
Threats:
Netstat_tool
Havoc
Fog_ransomware
Byovd_technique
Shadow_copies_delete_technique
Industry:
Government
CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)
TTPs:
Tactics: 9
Technics: 14
IOCs:
Command: 3
Hash: 17
Url: 5
File: 7
Soft:
Windows kernel
Crypto:
monero
Algorithms:
sha256, zip
Win API:
SeLoadDriverPrivilege, NtLoadDriver
Languages:
powershell
Platforms:
intel
Links:
20-04-2025
DOGE Big Balls Ransomware and the False Connection to Edward Coristine
https://cyble.com/blog/doge-big-balls-ransomware-edward-coristine/
Report completeness: High
Threats:
Netstat_tool
Havoc
Fog_ransomware
Byovd_technique
Shadow_copies_delete_technique
Industry:
Government
CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet diagnostics driver iqvw32.sys (1.03.0.7)
- intel ethernet diagnostics driver iqvw64.sys (1.03.0.7)
TTPs:
Tactics: 9
Technics: 14
IOCs:
Command: 3
Hash: 17
Url: 5
File: 7
Soft:
Windows kernel
Crypto:
monero
Algorithms:
sha256, zip
Win API:
SeLoadDriverPrivilege, NtLoadDriver
Languages:
powershell
Platforms:
intel
Links:
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/doge\_Big\_Balls\_ransomware.txtCyble
Doge Big Balls Ransomware Edward Coristine
Cyble investigates the DOGE BIG BALLS Ransomware, analyzing its operation and the false ties made to Edward Coristine.
CTT Report Hub
#ParsedReport #CompletenessHigh 20-04-2025 DOGE Big Balls Ransomware and the False Connection to Edward Coristine https://cyble.com/blog/doge-big-balls-ransomware-edward-coristine/ Report completeness: High Threats: Netstat_tool Havoc Fog_ransomware Byovd_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Программа-вымогатель DOGE BIG BALLS использует многогранные методы атаки, включая обманчивое сочетание клавиш LNK для выполнения команд PowerShell для доставки полезной информации в память. Он использует уязвимость в драйвере Intel CVE-2015-2291 для повышения привилегий и применяет меры защиты от обнаружения при регистрации системной информации, чтобы адаптировать свои атаки и облегчить перемещение по сети.
-----
Программа-вымогатель DOGE BIG BALLS - это изощренный хакерский инструмент, предназначенный для шифрования систем жертв и использующий разнообразные методы скрытной атаки. Атака начинается с получения заманчивого ZIP-файла, содержащего обманчивый ярлык LNK, который маскируется под законный документ. При выполнении это сочетание клавиш автоматически запускает цепочку команд PowerShell, которые загружают и выполняют полезную нагрузку программы-вымогателя в память, сводя к минимуму ее воздействие на систему жертвы.
В основе этой программы-вымогателя лежит использование уязвимости в драйвере Intel (CVE-2015-2291) с использованием метода создания собственного уязвимого драйвера (BYOVD). Такой подход позволяет хакеру получить разрешения на уровне ядра для повышения привилегий, что обеспечивает широкий контроль над системой. Полезная нагрузка представляет собой разновидность программы-вымогателя Fog, получившую название "DOGE BIG BALLS Ransomware", которая включает в себя психологические элементы, предназначенные для запутывания или запугивания жертв. В соглашении об именовании программы-вымогателя содержатся ссылки на общественную фигуру, что указывает на преднамеренную стратегию введения в заблуждение или отвлечения внимания во время восстановления.
Атака тщательно спланирована, в качестве организатора выступает скрипт PowerShell "stage1.ps1", который проверяет наличие административных прав. Если они предоставлены, он создает скрытый каталог в папке автозагрузки Windows и загружает вредоносные двоичные файлы, замаскированные под законные приложения. К ним относится полезная нагрузка программы-вымогателя, сохраненная как "Adobe Acrobat.exe", что облегчает выполнение, не вызывая подозрений. Кроме того, скрипт извлекает "ktool.exe", который служит средством эксплойта ядра, которое при запуске использует вышеупомянутый драйвер для дальнейшего повышения привилегий и отключения механизмов ведения журнала безопасности.
Функциональность программы-вымогателя включает в себя сбор обширной системной информации, которая заносится в специальный файл. Этот этап разведки помогает злоумышленникам адаптировать свои действия в зависимости от конкретной среды. После сбора необходимых данных программа приступает к шифрованию файлов в соответствии с предопределенными параметрами, такими как целевые типы файлов и другие рабочие конфигурации.
Важным аспектом этой атаки является встроенный в вредоносный инструментарий маяк Havoc C2, указывающий на возможные будущие действия хакера. Маяк предназначен для обеспечения долгосрочного доступа и контроля после расшифровки, что предполагает расширенные возможности для перемещения в сети жертвы. Сложность работы еще больше подчеркивается использованием мер защиты от обнаружения, таких как защитные барьеры выполнения, которые проверяют контекст выполнения для снижения риска анализа или обнаружения в изолированной среде.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Программа-вымогатель DOGE BIG BALLS использует многогранные методы атаки, включая обманчивое сочетание клавиш LNK для выполнения команд PowerShell для доставки полезной информации в память. Он использует уязвимость в драйвере Intel CVE-2015-2291 для повышения привилегий и применяет меры защиты от обнаружения при регистрации системной информации, чтобы адаптировать свои атаки и облегчить перемещение по сети.
-----
Программа-вымогатель DOGE BIG BALLS - это изощренный хакерский инструмент, предназначенный для шифрования систем жертв и использующий разнообразные методы скрытной атаки. Атака начинается с получения заманчивого ZIP-файла, содержащего обманчивый ярлык LNK, который маскируется под законный документ. При выполнении это сочетание клавиш автоматически запускает цепочку команд PowerShell, которые загружают и выполняют полезную нагрузку программы-вымогателя в память, сводя к минимуму ее воздействие на систему жертвы.
В основе этой программы-вымогателя лежит использование уязвимости в драйвере Intel (CVE-2015-2291) с использованием метода создания собственного уязвимого драйвера (BYOVD). Такой подход позволяет хакеру получить разрешения на уровне ядра для повышения привилегий, что обеспечивает широкий контроль над системой. Полезная нагрузка представляет собой разновидность программы-вымогателя Fog, получившую название "DOGE BIG BALLS Ransomware", которая включает в себя психологические элементы, предназначенные для запутывания или запугивания жертв. В соглашении об именовании программы-вымогателя содержатся ссылки на общественную фигуру, что указывает на преднамеренную стратегию введения в заблуждение или отвлечения внимания во время восстановления.
Атака тщательно спланирована, в качестве организатора выступает скрипт PowerShell "stage1.ps1", который проверяет наличие административных прав. Если они предоставлены, он создает скрытый каталог в папке автозагрузки Windows и загружает вредоносные двоичные файлы, замаскированные под законные приложения. К ним относится полезная нагрузка программы-вымогателя, сохраненная как "Adobe Acrobat.exe", что облегчает выполнение, не вызывая подозрений. Кроме того, скрипт извлекает "ktool.exe", который служит средством эксплойта ядра, которое при запуске использует вышеупомянутый драйвер для дальнейшего повышения привилегий и отключения механизмов ведения журнала безопасности.
Функциональность программы-вымогателя включает в себя сбор обширной системной информации, которая заносится в специальный файл. Этот этап разведки помогает злоумышленникам адаптировать свои действия в зависимости от конкретной среды. После сбора необходимых данных программа приступает к шифрованию файлов в соответствии с предопределенными параметрами, такими как целевые типы файлов и другие рабочие конфигурации.
Важным аспектом этой атаки является встроенный в вредоносный инструментарий маяк Havoc C2, указывающий на возможные будущие действия хакера. Маяк предназначен для обеспечения долгосрочного доступа и контроля после расшифровки, что предполагает расширенные возможности для перемещения в сети жертвы. Сложность работы еще больше подчеркивается использованием мер защиты от обнаружения, таких как защитные барьеры выполнения, которые проверяют контекст выполнения для снижения риска анализа или обнаружения в изолированной среде.
#ParsedReport #CompletenessMedium
21-04-2025
Lumma Stealer Tracking distribution channels
https://securelist.com/lumma-fake-captcha-attacks-analysis/116274/
Report completeness: Medium
Threats:
Lumma_stealer
Dll_sideloading_technique
Anydesk_tool
Industry:
E-commerce
Geo:
Italy
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1204, T1059.001, T1140, T1574.002, T1203, T1112, T1027, T1071.001
IOCs:
File: 12
Url: 4
Path: 1
Registry: 1
Domain: 20
Soft:
Telegram, Windows Registry, nsis installer, KeePass
Wallets:
metamask
Crypto:
binance, ethereum
Algorithms:
zip, lznt1, rc4, base64
Languages:
autoit, powershell, javascript, python
Links:
21-04-2025
Lumma Stealer Tracking distribution channels
https://securelist.com/lumma-fake-captcha-attacks-analysis/116274/
Report completeness: Medium
Threats:
Lumma_stealer
Dll_sideloading_technique
Anydesk_tool
Industry:
E-commerce
Geo:
Italy
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1204, T1059.001, T1140, T1574.002, T1203, T1112, T1027, T1071.001
IOCs:
File: 12
Url: 4
Path: 1
Registry: 1
Domain: 20
Soft:
Telegram, Windows Registry, nsis installer, KeePass
Wallets:
metamask
Crypto:
binance, ethereum
Algorithms:
zip, lznt1, rc4, base64
Languages:
autoit, powershell, javascript, python
Links:
https://github.com/digitalsleuth/autoit-extractorSecurelist
How Lumma Stealer sneaks into organizations
During incident response activities, our GERT team discovered Lumma Stealer in a customer’s infrastructure. Our experts conducted an investigation and analyzed its distribution scheme in detail.
#ParsedReport #CompletenessMedium
21-04-2025
Lumma Stealer Tracking distribution channels
https://securelist.com/lumma-fake-captcha-attacks-analysis/116274/
Report completeness: Medium
Threats:
Lumma_stealer
Dll_sideloading_technique
Anydesk_tool
Industry:
E-commerce
Geo:
Italy
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1204, T1059.001, T1140, T1574.002, T1203, T1112, T1027, T1071.001
IOCs:
File: 12
Url: 4
Path: 1
Registry: 1
Domain: 20
Soft:
Telegram, Windows Registry, nsis installer, KeePass
Wallets:
metamask
Crypto:
binance, ethereum
Algorithms:
zip, lznt1, rc4, base64
Languages:
autoit, powershell, javascript, python
Links:
21-04-2025
Lumma Stealer Tracking distribution channels
https://securelist.com/lumma-fake-captcha-attacks-analysis/116274/
Report completeness: Medium
Threats:
Lumma_stealer
Dll_sideloading_technique
Anydesk_tool
Industry:
E-commerce
Geo:
Italy
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1204, T1059.001, T1140, T1574.002, T1203, T1112, T1027, T1071.001
IOCs:
File: 12
Url: 4
Path: 1
Registry: 1
Domain: 20
Soft:
Telegram, Windows Registry, nsis installer, KeePass
Wallets:
metamask
Crypto:
binance, ethereum
Algorithms:
zip, lznt1, rc4, base64
Languages:
autoit, powershell, javascript, python
Links:
https://github.com/digitalsleuth/autoit-extractorSecurelist
How Lumma Stealer sneaks into organizations
During incident response activities, our GERT team discovered Lumma Stealer in a customer’s infrastructure. Our experts conducted an investigation and analyzed its distribution scheme in detail.
CTT Report Hub
#ParsedReport #CompletenessMedium 21-04-2025 Lumma Stealer Tracking distribution channels https://securelist.com/lumma-fake-captcha-attacks-analysis/116274/ Report completeness: Medium Threats: Lumma_stealer Dll_sideloading_technique Anydesk_tool Industry:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Lumma Stealer, которая с 2022 года является частью Malware-a-a-Service, распространяется с помощью фишинга, троянского программного обеспечения и наборов эксплойтов, используя социальную инженерию. Он использует дополнительную загрузку библиотек DLL и сложные многоступенчатые методы заражения для извлечения конфиденциальных данных, маскируя их трафик, чтобы избежать обнаружения.
-----
Распространение вредоносного ПО как услуги (MaaS) способствовало распространению программ, похищающих информацию, в частности Lumma Stealer, которое получило значительную популярность с момента своего запуска в 2022 году группой, известной как Lumma. Изначально разработанный под брендом LummaC2, этот изощренный взломщик уже утвердился на рынках даркнета и Telegram, цены на него начинаются примерно с 250 долларов, а растущая база пользователей превысила тысячу подписчиков по состоянию на март 2025 года. Методы доставки Lumma часто требуют взаимодействия с человеком, когда пользователей вводят в заблуждение и заставляют выполнять вредоносные команды с помощью таких тактик, как поддельные страницы с капчей и троянское программное обеспечение.
Основными причинами заражения Lumma являются тактика фишинга, распространение с помощью вредоносных вложений или ссылок, а также компрометация законных приложений. Кроме того, для обхода мер безопасности используются наборы эксплойтов и социальная инженерия. Особенно эффективный метод распространения включает создание клонированных веб-сайтов для пиратского контента, которые при доступе перенаправляют пользователей на вредоносную капчу, предназначенную для извлечения команды PowerShell в буфер обмена. После выполнения этой команды, обычно загружаемой с удаленного сервера, вредоносное ПО устанавливается и запускается автоматически.
Цепочка заражения Lumma Stealer чрезвычайно сложна и включает в себя различные методы обфускации и стратегии доставки полезной информации. Одним из распространенных методов является дополнительная загрузка DLL, при которой вредоносная библиотека DLL запускается вместе с легитимными приложениями, используя их доверительный контекст. Другой метод заключается во внедрении вредоносного кода в раздел наложения законных программных приложений, сохраняя видимость нормальной функциональности при выполнении вредоносных операций в фоновом режиме.
Детальное изучение образца Lumma показало, что в нем используется многоступенчатый подход к заражению. Исходная полезная нагрузка маскируется под законный исполняемый файл, извлекая и запуская архив, содержащий программу установки Nullsoft Scriptable Install System (NSIS). Этот установщик закладывает основу для последующих компонентов вредоносного ПО, включая сценарии автоматической загрузки, ответственные за организацию процесса заражения. Эти сценарии разработаны таким образом, чтобы избежать обнаружения путем сканирования программного обеспечения безопасности на компьютере жертвы, при необходимости откладывая выполнение, чтобы избежать использования изолированных сред.
Как только Lumma Stealer запускается, он устанавливает связь с серверами управления для извлечения украденной информации, которая может включать в себя ряд конфиденциальных данных, таких как учетные данные криптовалюты, токены двухфакторной аутентификации и сохраненные пароли от различных приложений. Сообщения вредоносного ПО часто маскируются под законный трафик, чтобы обойти системы сетевого мониторинга.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Lumma Stealer, которая с 2022 года является частью Malware-a-a-Service, распространяется с помощью фишинга, троянского программного обеспечения и наборов эксплойтов, используя социальную инженерию. Он использует дополнительную загрузку библиотек DLL и сложные многоступенчатые методы заражения для извлечения конфиденциальных данных, маскируя их трафик, чтобы избежать обнаружения.
-----
Распространение вредоносного ПО как услуги (MaaS) способствовало распространению программ, похищающих информацию, в частности Lumma Stealer, которое получило значительную популярность с момента своего запуска в 2022 году группой, известной как Lumma. Изначально разработанный под брендом LummaC2, этот изощренный взломщик уже утвердился на рынках даркнета и Telegram, цены на него начинаются примерно с 250 долларов, а растущая база пользователей превысила тысячу подписчиков по состоянию на март 2025 года. Методы доставки Lumma часто требуют взаимодействия с человеком, когда пользователей вводят в заблуждение и заставляют выполнять вредоносные команды с помощью таких тактик, как поддельные страницы с капчей и троянское программное обеспечение.
Основными причинами заражения Lumma являются тактика фишинга, распространение с помощью вредоносных вложений или ссылок, а также компрометация законных приложений. Кроме того, для обхода мер безопасности используются наборы эксплойтов и социальная инженерия. Особенно эффективный метод распространения включает создание клонированных веб-сайтов для пиратского контента, которые при доступе перенаправляют пользователей на вредоносную капчу, предназначенную для извлечения команды PowerShell в буфер обмена. После выполнения этой команды, обычно загружаемой с удаленного сервера, вредоносное ПО устанавливается и запускается автоматически.
Цепочка заражения Lumma Stealer чрезвычайно сложна и включает в себя различные методы обфускации и стратегии доставки полезной информации. Одним из распространенных методов является дополнительная загрузка DLL, при которой вредоносная библиотека DLL запускается вместе с легитимными приложениями, используя их доверительный контекст. Другой метод заключается во внедрении вредоносного кода в раздел наложения законных программных приложений, сохраняя видимость нормальной функциональности при выполнении вредоносных операций в фоновом режиме.
Детальное изучение образца Lumma показало, что в нем используется многоступенчатый подход к заражению. Исходная полезная нагрузка маскируется под законный исполняемый файл, извлекая и запуская архив, содержащий программу установки Nullsoft Scriptable Install System (NSIS). Этот установщик закладывает основу для последующих компонентов вредоносного ПО, включая сценарии автоматической загрузки, ответственные за организацию процесса заражения. Эти сценарии разработаны таким образом, чтобы избежать обнаружения путем сканирования программного обеспечения безопасности на компьютере жертвы, при необходимости откладывая выполнение, чтобы избежать использования изолированных сред.
Как только Lumma Stealer запускается, он устанавливает связь с серверами управления для извлечения украденной информации, которая может включать в себя ряд конфиденциальных данных, таких как учетные данные криптовалюты, токены двухфакторной аутентификации и сохраненные пароли от различных приложений. Сообщения вредоносного ПО часто маскируются под законный трафик, чтобы обойти системы сетевого мониторинга.
#ParsedReport #CompletenessLow
21-04-2025
MS-SQL server target attack case installing Ammyy Admin
https://asec.ahnlab.com/ko/87590/
Report completeness: Low
Threats:
Ammyyadmin_tool
Anydesk_tool
Todesk_tool
Teamviewer_tool
Gotohttp_tool
Netstat_tool
Petitpotato_tool
Ammyyrat
Porttranc_tool
Victims:
Ms-sql servers
ChatGPT TTPs:
T1078, T1059.001, T1110, T1105
IOCs:
File: 2
Path: 2
Url: 9
Hash: 4
Soft:
MS-SQL
Algorithms:
md5
21-04-2025
MS-SQL server target attack case installing Ammyy Admin
https://asec.ahnlab.com/ko/87590/
Report completeness: Low
Threats:
Ammyyadmin_tool
Anydesk_tool
Todesk_tool
Teamviewer_tool
Gotohttp_tool
Netstat_tool
Petitpotato_tool
Ammyyrat
Porttranc_tool
Victims:
Ms-sql servers
ChatGPT TTPs:
do not use without manual checkT1078, T1059.001, T1110, T1105
IOCs:
File: 2
Path: 2
Url: 9
Hash: 4
Soft:
MS-SQL
Algorithms:
md5
ASEC
Ammyy Admin을 설치하는 MS-SQL 서버 대상 공격 사례 - ASEC
AhnLab SEcurity intelligence Center(ASEC)은 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Ammyy Admin을 설치하는 공격 사례를 확인하였다. Ammyy Admin은 원격 제어 도구로서 AnyDesk나 ToDesk, TeamViwer 등과 함께 원격에서 시스템을 제어하기 위한 목적으로 사용된다. 이러한 도구들은 정상적으로 사용할 경우 기업 및 개인이 원격에 위치한 시스템들을 관리하고 제어할 수 있다.…
CTT Report Hub
#ParsedReport #CompletenessLow 21-04-2025 MS-SQL server target attack case installing Ammyy Admin https://asec.ahnlab.com/ko/87590/ Report completeness: Low Threats: Ammyyadmin_tool Anydesk_tool Todesk_tool Teamviewer_tool Gotohttp_tool Netstat_tool Petitpotato_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние атаки на серверы MS-SQL используют слабые средства аутентификации и удаленного управления, такие как AnyDesk и Ammyy Admin, в качестве бэкдоров. Злоумышленники устанавливают вредоносный код для получения контроля, часто используя такие инструменты, как GOTOHTTP и PetitPotato, для использования неправильно настроенных учетных записей. Внедрение политики надежного использования паролей и обновление программного обеспечения имеют решающее значение для защиты.
-----
Недавние случаи атак на серверы MS-SQL продемонстрировали, как инструменты удаленного управления, такие как Anydesk и Ammyy Admin, могут быть использованы аналогично бэкдорам и троянам удаленного доступа (RAT). Уязвимость в основном связана с ненадлежащим образом защищенными серверами MS-SQL, которые могут быть просканированы и скомпрометированы злоумышленниками. Как только злоумышленник обнаруживает уязвимый сервер, он часто устанавливает вредоносный код, использующий слабые учетные данные для аутентификации.
В задокументированных атаках злоумышленники использовали протокол GOTOHTTP в качестве точки входа, подчеркивая риск, который представляют системы, подключенные к Интернету и использующие скомпрометированные учетные данные. Злоумышленник часто использует команды для сбора информации о зараженной системе после взлома. Например, Ammyy Admin, в частности, такой версии, как V3.10, служит инструментом удаленного рабочего стола, который позволяет злоумышленникам получить контроль над зараженными системами, используя конфигурационный файл "Settings3.bin". Этот файл содержит важную информацию, такую как "Идентификатор клиента", который позволяет получить удаленный доступ после извлечения из памяти системы.
Кроме того, злоумышленники использовали PetitPotato в качестве средства для активации службы протокола удаленного рабочего стола (RDP) путем добавления новых учетных записей пользователей. Тактика, используемая в этих атаках, часто включает в себя "брутфорсинг" и атаки по словарю против плохо настроенных учетных записей. Для снижения рисков администраторам крайне важно внедрять сложные политики паролей и периодически менять пароли, тем самым защищая сервер базы данных от попыток несанкционированного доступа.
Кроме того, для предотвращения заражения вредоносными программами необходимо постоянно обновлять программное обеспечение удаленного управления до последних версий. Сетевые средства защиты, такие как брандмауэры, должны быть настроены таким образом, чтобы контролировать доступ к серверам баз данных, особенно к тем, которые доступны извне. Несоблюдение этих превентивных мер может привести к продолжительным атакам и потенциальному распространению вредоносного ПО в уязвимой инфраструктуре.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние атаки на серверы MS-SQL используют слабые средства аутентификации и удаленного управления, такие как AnyDesk и Ammyy Admin, в качестве бэкдоров. Злоумышленники устанавливают вредоносный код для получения контроля, часто используя такие инструменты, как GOTOHTTP и PetitPotato, для использования неправильно настроенных учетных записей. Внедрение политики надежного использования паролей и обновление программного обеспечения имеют решающее значение для защиты.
-----
Недавние случаи атак на серверы MS-SQL продемонстрировали, как инструменты удаленного управления, такие как Anydesk и Ammyy Admin, могут быть использованы аналогично бэкдорам и троянам удаленного доступа (RAT). Уязвимость в основном связана с ненадлежащим образом защищенными серверами MS-SQL, которые могут быть просканированы и скомпрометированы злоумышленниками. Как только злоумышленник обнаруживает уязвимый сервер, он часто устанавливает вредоносный код, использующий слабые учетные данные для аутентификации.
В задокументированных атаках злоумышленники использовали протокол GOTOHTTP в качестве точки входа, подчеркивая риск, который представляют системы, подключенные к Интернету и использующие скомпрометированные учетные данные. Злоумышленник часто использует команды для сбора информации о зараженной системе после взлома. Например, Ammyy Admin, в частности, такой версии, как V3.10, служит инструментом удаленного рабочего стола, который позволяет злоумышленникам получить контроль над зараженными системами, используя конфигурационный файл "Settings3.bin". Этот файл содержит важную информацию, такую как "Идентификатор клиента", который позволяет получить удаленный доступ после извлечения из памяти системы.
Кроме того, злоумышленники использовали PetitPotato в качестве средства для активации службы протокола удаленного рабочего стола (RDP) путем добавления новых учетных записей пользователей. Тактика, используемая в этих атаках, часто включает в себя "брутфорсинг" и атаки по словарю против плохо настроенных учетных записей. Для снижения рисков администраторам крайне важно внедрять сложные политики паролей и периодически менять пароли, тем самым защищая сервер базы данных от попыток несанкционированного доступа.
Кроме того, для предотвращения заражения вредоносными программами необходимо постоянно обновлять программное обеспечение удаленного управления до последних версий. Сетевые средства защиты, такие как брандмауэры, должны быть настроены таким образом, чтобы контролировать доступ к серверам баз данных, особенно к тем, которые доступны извне. Несоблюдение этих превентивных мер может привести к продолжительным атакам и потенциальному распространению вредоносного ПО в уязвимой инфраструктуре.