#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа WaterPlum, связанная с Северной Кореей, атакует финансовые секторы с помощью вредоносного ПО OtterCookie, которое было выпущено в версиях 3 и 4. Примечательно, что в версии 4 есть модули двойного перехвата данных для извлечения данных из браузеров с использованием различных методов, что указывает на разнообразие разработок.
-----

Связанная с Северной Кореей хакерская группа WaterPlum продолжает атаковать финансовые учреждения, операторов криптовалют и финтех-компании по всему миру. Они используют вредоносное ПО под названием BeaverTail или InvisibleFerret с тех пор, как примерно в 2023 году началась кампания "Заразное интервью". Однако в сентябре 2024 года они представили новый вариант вредоносного ПО, получивший название "OtterCookie", а подробности о его возможностях были опубликованы в статье в блоге в декабре 2024 года. Атаки с использованием OtterCookie продолжались и после публикации статьи, что привело к подтверждению обновлений в феврале и апреле 2025 года.

Эволюция OtterCookie была разделена на версии, и в феврале 2025 года появилась версия OtterCookie v3, отличающаяся наличием двух модулей. Основной модуль сохраняет функции оригинального OtterCookie, в то время как дополнительный модуль загрузки облегчает взаимодействие с сервером управления (C2). В последующую версию, OtterCookie v4, представленную в апреле 2025 года, были интегрированы два новых модуля Stealer с улучшенными функциями основного модуля.

Заметное изменение в версии 4 включает в себя изменение метода, используемого для кражи данных из буфера обмена; он перешел от библиотеки clipboardy к использованию стандартных команд macOS или Windows. Первый модуль Stealer в версии v4 находит и извлекает имена пользователей и пароли, хранящиеся в Google Chrome, используя API защиты данных (DPAPI) для расшифровки данных для входа в систему. Затем эти данные сохраняются в указанном домашнем каталоге для текущих операций. И наоборот, второй модуль Stealer собирает файлы, связанные с учетными данными MetaMask, Google Chrome и Brave browser, а также учетными данными macOS, не пытаясь расшифровать их. Различия в методах обработки данных между модулями позволяют предположить, что они могли быть разработаны разными людьми или командами.

#ParsedReport #CompletenessLow
14-05-2025

DragonForce Ransomware

https://intel471.com/blog/dragonforce-ransomware

Report completeness: Low

Actors/Campaigns:
Dragonforce (motivation: politically_motivated)

Threats:
Dragonforce_ransomware
Splashtop_tool
Teamviewer_tool
Adfind_tool
Atera_tool
Anydesk_tool
Shadow_copies_delete_technique
Vssadmin_tool

Industry:
Retail

Geo:
America, Asia

ChatGPT TTPs:
do not use without manual check
T1587.001, T1569.002, T1547.001, T1036.005, T1087.002, T1543.003, T1562.001, T1564.001, T1059.001, T1202, have more...

IOCs:
File: 1

Soft:
Windows Installer, active directory, bcdedit

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель DragonForce, появившаяся в 2023 году в качестве модели RaaS, перешла от политически мотивированных атак к финансовому вымогательству. хакеры используют инструменты удаленного управления, такие как TeamViewer, для постоянного доступа, используя методы, позволяющие избежать обнаружения, такие как манипулирование элементами запуска и мониторинг значений реестра на предмет несанкционированной установки.
-----

Программа-вымогатель DragonForce - это разновидность вредоносного ПО, появившаяся в 2023 году и работающая по модели "Программа-вымогатель как услуга" (RaaS). Первоначально группа, стоящая за DragonForce, сосредоточилась на политически мотивированных атаках, но затем переключилась на кампании вымогательства, основанные на финансовых средствах. Эта эволюция сделала DragonForce заметной фигурой в мире программ-вымогателей. Программа-вымогатель позволяет аффилированным лицам использовать ее инфраструктуру и настраиваемую полезную нагрузку для операций в различных секторах, включая розничную торговлю, финансы и производство, а ее влияние ощущается в таких регионах, как Северная Америка, Европа и Азия.

В настоящее время разрабатываются пакеты поиска угроз для анализа и выявления вредоносных действий, связанных с внедрением инструментов удаленного управления, таких как Splashtop и TeamViewer. Эти инструменты часто используются злоумышленниками для получения постоянного доступа к скомпрометированным системам, что позволяет им управлять несколькими зараженными компьютерами, избегая обнаружения. Методы, используемые для обеспечения сохраняемости, часто включают манипулирование папками запуска или ключами запуска реестра, где подозрительные имена ключей или пути к ним указывают на потенциально вредоносные намерения.

В частности, в отношении TeamViewer были разработаны пакеты поиска, позволяющие выявлять несанкционированные установки или переименованные экземпляры программного обеспечения, фокусируясь на DNS-запросах к соответствующим доменам и исключая общие пути, обычно связанные с законным использованием. Анализ исполняемых файлов, связанных с TeamViewer, позволяет провести дальнейшее различие между установочными файлами, двоичными файлами служб и файлами приложений, выявляя нарушения политики в средах, где TeamViewer явно не авторизован.

Кроме того, в список угроз входят Atera Agent и AnyDesk, которые также могут быть установлены автоматически для облегчения несанкционированного доступа. Для выявления таких установок требуется отслеживать значения реестра и аргументы командной строки, которые являются синонимами этих инструментов. Процессы PowerShell с определенными параметрами, указывающими на недобросовестное поведение, такие как изменение политик выполнения, выполнение в скрытых средах и подключение к Интернету, также находятся под пристальным вниманием.

Кроме того, отмечены атаки UEFI bootkit, при этом особое внимание уделяется мониторингу изменений конфигурации загрузки системы с помощью средства командной строки bcdedit. Действия программ-вымогателей характеризуются удалением теневых копий Windows перед шифрованием данных, обычно выполняемым с помощью PowerShell или таких команд, как vssadmin, что указывает на систематический подход к предотвращению попыток восстановления.

Таким образом, эволюционирующая тактика хакеров, включая адаптивность вредоносных программ, таких как DragonForce, отражает постоянный сдвиг в сторону методологий, в которых приоритет отдается финансовой выгоде, использованию законных инструментов для несанкционированного доступа и внедрению методов, направленных на сокрытие вредоносных действий.

#ParsedReport #CompletenessHigh
14-05-2025

Analysis of APT37 Attack Case Disguised as a Think Tank for National Security Strategy in South Korea (Operation. ToyBox Story)

https://www.genians.co.kr/en/blog/threat_intelligence/toybox-story

Report completeness: High

Actors/Campaigns:
Toybox_story
Scarcruft

Threats:
Spear-phishing_technique
Rokrat
Watering_hole_technique
Lolbin_technique

Victims:
Activists focused on north korea, South korean national security think tank, Conference attendees

Industry:
Transport

Geo:
Usa, North korean, North korea, Korean, Russia, Korea, Russian

CVEs:
CVE-2022-41128 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19567)
- microsoft windows 10 1607 (<10.0.14393.5501)
- microsoft windows 10 1809 (<10.0.17763.3650)
- microsoft windows 10 20h2 (<10.0.19042.2251)
- microsoft windows 10 21h1 (<10.0.19043.2251)
have more...

ChatGPT TTPs:
do not use without manual check
T1566.001, T1204.002, T1036.005, T1105, T1071.001, T1090.003, T1218.013, T1059.001, T1027, T1106, have more...

IOCs:
File: 13
Email: 10
Hash: 12
Domain: 2
Url: 2
IP: 3

Soft:
Slack, Instagram, Dropbox, Internet Explorer, macOS, Gmail, AstrillVPN

Algorithms:
zip, md5, prng, aes-128-cbc, aes, exhibit, xor

Functions:
sub_40F0E7, sub_40F569

Win API:
CreateThread, deletefile

Languages:
powershell

Links:
https://github.com/MBCProject

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 3, code: 3, dump: 11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейская государственная группа APT37 провела операцию "Операция: история ToyBox", используя фишинг с использованием файлов LNK для развертывания вредоносного ПО RoKRAT по ссылкам Dropbox. Эта вредоносная программа использует методы скрытой работы без использования файлов, выполняет команды PowerShell и позволяет выполнять удаленные команды, что усложняет обнаружение. APT37 нацелена на уязвимости в Internet Explorer и распространила тактику на другие платформы, подчеркивая необходимость расширенного обнаружения угроз.
-----

В марте 2025 года северокорейская хакерская группа APT37, спонсируемая государством, провела масштабную фишинговую кампанию под названием "Операция: история ToyBox", направленную против активистов, ориентированных на Северную Корею. В ходе атаки была использована тактика социальной инженерии, которая была осуществлена под видом приглашения на научный форум, якобы организованный южнокорейским аналитическим центром по национальной безопасности. Злоумышленники использовали Dropbox в качестве канала передачи вредоносных файлов LNK, упакованных в ZIP-архивы, маскируя их под законный контент, связанный с размещением северокорейских войск в России.

Фишинговые электронные письма spear содержали ссылки на Dropbox, которые вели к сжатым файлам с вредоносными файлами LNK, способными выполнять скрытые команды PowerShell при извлечении и запуске. Вредоносное поведение началось, когда пользователи запустили файл LNK, который активировал документ-приманку, одновременно инициируя загрузку дополнительных вариантов вредоносного ПО. В частности, проанализированное вредоносное ПО было идентифицировано как RoKRAT, семейство, известное своей скрытой реализацией методов атаки без использования файлов, позволяющих обойти традиционное антивирусное обнаружение.

RoKRAT заражает системы, сначала собирая важную системную информацию, сохраняя ее в памяти и генерируя инструкции для взаимодействия со своими облачными серверами управления (C2). Примечательно, что вредоносная программа использует особый механизм для извлечения данных с помощью аутентификации Dropbox, реализуя несколько этапов шифрования, чтобы скрыть передаваемую информацию. Вредоносная программа также продемонстрировала такие возможности, как создание скриншотов в режиме реального времени и выполнение удаленных команд, что усложняет работу по обнаружению и анализу.

Использование файлов LNK было особенно примечательно, поскольку они могли выполнять команды PowerShell, встроенные в их конфигурации, тем самым облегчая динамическую загрузку шелл-кода в память. Этот метод позволяет APT37 внедрять вредоносное ПО, не оставляя значительных следов в файловой системе. В предыдущих инцидентах было замечено, что группа использовала аналогичные методы с различной полезной нагрузкой, но сохраняла согласованную структуру кода, что приводило к поведенческой сигнатуре, которая может быть сопоставлена с известными методами в рамках платформы MITRE ATT&CK.

APT37 ранее использовала уязвимости нулевого дня, в частности, в Internet Explorer (например, CVE-2022-41128), и их деятельность распространилась на платформы Android и macOS. Постоянное развитие их тактики, в частности использование законных облачных сервисов для инфраструктуры C2, подчеркивает важность передовых мер безопасности, таких как системы обнаружения конечных точек и реагирования (EDR), способные выявлять вредоносную активность, особенно в средах, в значительной степени зависящих от облачных сервисов. Проведенный анализ указывает на последовательную стратегию хакеров по использованию существующих общедоступных ресурсов в злонамеренных целях, подчеркивая постоянную потребность в бдительности и сложных стратегиях обнаружения угроз в области кибербезопасности.

#ParsedReport #CompletenessLow
14-05-2025

Excel(ent) Obfuscation: Regex Gone Rogue

https://www.deepinstinct.com/blog/excellent-obfuscation-regex-gone-rogue

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1566.001, T1204.002, T1221, T1204.001, T1027, T1059.005, T1059.001, T1059.003, T1203, T1140, have more...

IOCs:
File: 3
Hash: 3

Functions:
Macro1

Languages:
perl, powershell, javascript, python

Links:
https://github.com/sevagas/macro\_pack

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют документы Microsoft Office с помощью встроенных макросов и ссылок для распространения вредоносных программ, таких как программы-вымогатели и похитители информации, часто используя методы обфускации, чтобы избежать обнаружения. Внедрение Python в Excel повышает уязвимость, требуя усовершенствованных механизмов защиты для борьбы с появляющимися угрозами.
-----

Документы Microsoft Office все чаще используются киберпреступниками в связи с их широким распространением и возможностью скрывать в них вредоносный код. Злоумышленники используют такие форматы, как Word и Excel, для предоставления полезной информации, часто используя встроенные макросы и внешние ссылки, которые запускаются при взаимодействии с пользователем. Такие методы, как удаленное внедрение шаблонов и обфускация макросов, позволяют этим вредоносным файлам обходить антивирусные решения, создавая такие угрозы, как программы-вымогатели и вредоносные программы для кражи информации. Привычный характер документов Office делает их эффективными инструментами фишинга и социальной инженерии, маскируя вредоносный контент под законную переписку.

В ходе практической демонстрации был создан документ Excel с поддержкой макросов, в котором использовался незавершенный код VBA для выполнения команд PowerShell и загрузки пакетного файла из Pastebin. Это было протестировано с помощью VirusTotal, и выяснилось, что 22 отдельных поставщика средств защиты отметили документ как вредоносный. хакеры часто используют передовые методы обфускации для эффективной маскировки своего кода; одним из продемонстрированных подходов была обфускация макропакетов, которая усложняет интерпретацию вредоносных компонентов с помощью сопоставления с шаблоном регулярных выражений (regex). Этот метод позволяет динамически реконструировать вредоносный код, что делает обнаружение с помощью статического анализа все более сложным.

При анализе с помощью специализированных инструментов, таких как OLEVBA, в исходном образце были обнаружены явные признаки вредоносного поведения, в то время как в версии с обфускацией регулярных выражений удалось полностью избежать обнаружения. Создавая критически важные компоненты, такие как команды PowerShell, во время выполнения, хакеры могут значительно снизить вероятность обнаружения с помощью автоматизированных мер безопасности. На данный момент не поступало сообщений о случаях применения этого метода обфускации в активных кампаниях, хотя его потенциал очевиден.

Кроме того, внедрение Microsoft функциональности Python в Excel повышает уровень риска. Несмотря на то, что вычисления выполняются в облачной среде, внедрение мощного языка сценариев в пакет Office расширяет возможности для атак со стороны целеустремленных хакеров. Постоянный мониторинг и адаптация защитных механизмов имеют решающее значение, особенно в связи с тем, что авторы вредоносных программ постоянно совершенствуют свою тактику, чтобы скрыть вредоносные действия и избежать обнаружения.

#ParsedReport #CompletenessLow
14-05-2025

The HIVE0117 group conducted a large -scale phishing campaign using VPO Darkwatchman

https://habr.com/ru/companies/F6/news/905930/

Report completeness: Low

Actors/Campaigns:
Hive0117

Threats:
Darkwatchman

Victims:
Russian companies, Organizations

Industry:
Retail, Energy, Financial, Telco, Biotechnology

Geo:
Estonia, Belarus, Russia, Kazakhstan, Russian, Lithuania

ChatGPT TTPs:
do not use without manual check
T1566.001, T1584.001, T1055, T1105

IOCs:
Email: 1
File: 8
Domain: 103
Hash: 16
IP: 17

Algorithms:
sha256, md5, zip, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа HIVE0117, действующая с февраля 2022 года, использует вредоносное ПО VPO Darkwatchman для крупномасштабных фишинговых атак в различных секторах России. Они выдают себя за законные организации и используют сложные тактические приемы, позволяющие избежать обнаружения, демонстрируя широкий географический охват своей деятельности.
-----

29 апреля Межведомственное управление по борьбе с угрозами F6 сообщило о группе HIVE0117, хакере с финансовой мотивацией, ответственном за проведение крупномасштабных фишинговых атак, нацеленных на различные сектора в России, включая СМИ, туризм, финансы, страхование, производство, розничную торговлю, энергетику, телекоммуникации, транспорт и биотехнологии. Группа действует с февраля 2022 года и использует для своих операций вредоносную программу, известную как VPO Darkwatchman.

HIVE 0117 использует сложную тактику, например, выдает себя за легальные организации для регистрации доменов и создания инфраструктуры для своих фишинговых кампаний. Этот метод позволяет им рассылать огромное количество фишинговых электронных писем, цель которых - заставить жертв открывать вредоносные вложения. Как только архивный файл открывается, он запускает вредоносную цепочку, которая приводит к заражению целевой системы модифицированной версией VPO Darkwatchman. Этот вариант разработан таким образом, чтобы действовать скрытно и избегать обнаружения обычными мерами безопасности, что повышает его эффективность.

Инфраструктура группы демонстрирует тенденцию повторного использования регистрационной информации и доменов управления (C2), что свидетельствует о стремлении использовать устоявшиеся инструменты и методы для своей деятельности. Их деятельность была выявлена во многих странах, включая Россию, Белоруссию, Литву, Эстонию и Казахстан, что указывает на широкий географический охват их фишинговых кампаний. В целом, деятельность HIVE0117 подчеркивает сохраняющуюся угрозу киберпреступности, направленную против важных секторов экономики, и подчеркивает необходимость усиления бдительности и мер защиты от фишинга и связанных с ним атак.

#ParsedReport #CompletenessLow
14-05-2025

Critical Vulnerabilities in Fortinet and Ivanti Products: Multiple Zero-Day Threats Addressed

https://socradar.io/fortinet-and-ivanti-products-zero-day-threat-addressed/

Report completeness: Low

Victims:
Fortinet customers, Ivanti customers

Geo:
Germany

CVEs:
CVE-2025-4427 [Vulners]
CVSS V3.1: 5.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32756 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-22462 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-4428 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1003, T1070.004, T1053.003, T1046, T1210, T1136

IOCs:
IP: 6

Soft:
Ivanti, Ivanti Sentry

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Критические уязвимости в FortiVoice от Fortinet (CVE-2025-32756) и в Ivanti Neurons for ITSM (CVE-2025-22462) активно используются при атаках нулевого дня, позволяя удаленно выполнять код и получать административный доступ. Fortinet обращает внимание на риски, связанные с внедрением вредоносных программ, и предлагает меры по их устранению, в то время как Ivanti призывает к оперативному обновлению уязвимых систем.
-----

Fortinet и Ivanti опубликовали срочные рекомендации относительно множества критических уязвимостей, которые активно использовались при атаках нулевого дня. Эти уязвимости влияют на ряд корпоративных систем, включая VoIP, почтовые платформы, решения для управления ИТ-сервисами и конечными точками.

Компания Fortinet обнаружила серьезную уязвимость удаленного выполнения кода (RCE), обозначенную как CVE-2025-32756, которая затрагивает корпоративные телефонные системы FortiVoice. Эта уязвимость возникает в результате переполнения буфера на основе стека, что позволяет удаленным злоумышленникам, не прошедшим проверку подлинности, выполнять произвольные команды, используя специально созданные HTTP-запросы. Уязвимость была обнаружена, когда команда безопасности продуктов Fortinet обнаружила ненормальное поведение злоумышленников, включая сканирование сети, удаление журналов сбоев системы и использование функции отладки fcgi для извлечения системных данных и учетных данных SSH. В ходе продолжающихся попыток эксплуатации было замечено, что злоумышленники внедряют вредоносное ПО, создают задания cron для кражи учетных данных и выполняют сценарии для сканирования внутренних сетей. Компания Fortinet сообщила клиентам, что они не могут немедленно установить исправление для отключения интерфейса администратора HTTP/HTTPS в качестве временного решения проблемы, особенно после того, как более 16 000 ее устройств были скомпрометированы из-за бэкдора с символической ссылкой, о котором сообщалось ранее.

С другой стороны, компания Ivanti устранила уязвимость обхода аутентификации CVE-2025-22462 в своем локальном решении для управления ИТ-сервисами Neurons for ITSM. Этот недостаток может позволить злоумышленникам, не прошедшим проверку подлинности, получить административный доступ с минимальными усилиями. Несмотря на то, что Ivanti не обнаружила никаких признаков несанкционированного использования, она подчеркнула, что клиенты, которые ранее применяли меры по усилению безопасности, включая ограничения доступа через настройки IIS и внедрение конфигураций DMZ, снизили свою подверженность этой уязвимости. Кроме того, Ivanti сообщила о других уязвимостях, таких как CVE-2025-4427, которая позволяет обходить аутентификацию в EPMM API, и CVE-2025-4428, которая позволяет удаленно выполнять код с помощью специально созданных запросов API. Несмотря на то, что полный объем эксплуатации все еще находится в стадии оценки, Ivanti настоятельно призывает всех локальных заказчиков EPMM срочно обновить свои системы.

Эти события подчеркивают устойчивую тенденцию, при которой злоумышленники используют уязвимости в корпоративном программном обеспечении для получения существенного доступа к критически важным системам. Хотя использование уязвимостей Ivanti пока представляется ограниченным, уязвимость RCE в Fortinet активно используется в качестве оружия. Организациям, использующим уязвимые продукты, следует уделять первоочередное внимание своевременному исправлению ошибок и рассмотреть возможность принятия мер по смягчению последствий, если немедленное обновление невозможно. Постоянный мониторинг и строгий контроль доступа необходимы для противодействия растущему числу хакеров.

#ParsedReport #CompletenessLow
14-05-2025

Fast Flux technique for hidden and detection of command control (C & C)

https://asec.ahnlab.com/ko/87941/

Report completeness: Low

Actors/Campaigns:
Gamaredon

Threats:
Fastflux_technique
Zeus

Victims:
Nato countries, General users

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1568.002, T1583.003, T1584.004, T1583.001

IOCs:
File: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сеть Fast-Flux скрывает инфраструктуру управления за счет постоянной смены записей DNS A и NS, что усложняет обнаружение для компаний, занимающихся кибербезопасностью. Gamaredon и Gameover Zeus использовали эти методы для уклонения от обнаружения и компрометации финансовых данных, продемонстрировав их эффективность как в борьбе с киберпреступностью, так и в операциях, финансируемых государством. Для снижения рисков требуются расширенные возможности обнаружения, изменения политики DNS и долгосрочный мониторинг инфраструктуры.
-----

Сеть Fast-Flux, которая в апреле 2025 года была признана серьезной хакерской атакой, использует сложные методы маскировки инфраструктуры командования и контроля (C2), что затрудняет обнаружение. Этот метод, впервые примененный в ботнете STORM в 2007 году, использует доменную инфраструктуру для постоянной смены IP-адресов, связанных с доменом, эффективно обходя меры безопасности. Сети Fast-Flux могут скрывать серверы C2, быстро изменяя записи DNS A, а усовершенствованные варианты, такие как Double-Flux, делают это еще более эффективным, также изменяя записи серверов имен (NS), усложняя методы обнаружения для компаний, занимающихся кибербезопасностью.

Одним из ключевых аспектов Fast-Flux является низкое время жизни (TTL) записей DNS, которое может быть сокращено до нескольких секунд, что позволяет злоумышленникам быстро менять IP-адреса. БОТНЕТ STORM продемонстрировал этот подход, распространяя вредоносные ссылки по электронной почте и переключаясь между сотнями IP-адресов, чтобы избежать обнаружения. Основываясь на этой методологии, вредоносная программа Gameover Zeus использовала методы Fast-Flux и Double-Flux для компрометации финансовых данных, сохраняя при этом значительные трудности в отслеживании своей деятельности. Обширный охват Gameover Zeus, который, как сообщается, заразил миллионы систем, продемонстрировал эффективность сочетания алгоритмов генерации доменов с тактикой быстрого изменения.

Более того, российская разведывательная группа Gamaredon использовала сеть Fast-Flux для ведения разведки против стран НАТО в период с 2022 по 2024 год. Они использовали различные IP-адреса и номера автономных систем (ASN), чтобы продлить срок их службы и избежать обнаружения, демонстрируя, что тактика быстрого реагирования применяется не только киберпреступными организациями, но и в операциях, спонсируемых государством.

Злоумышленники обычно используют сервисы пуленепробиваемого хостинга (BPH) для дальнейшего расширения своих возможностей, что позволяет им игнорировать запросы правоохранительных органов. Эти сервисы играют ключевую роль в поддержании вредоносных действий, таких как управление инфраструктурами фишинга и рассылки спама. Таким образом, технология Fast-Flux преобразует традиционное сопоставление домена и IP-адреса в более сложную структуру, предназначенную для обхода протоколов безопасности.

Для снижения рисков, связанных с Fast-Flux, требуется надежная стратегия безопасности, которая включает в себя расширение возможностей обнаружения и блокировки. Такие методы, как анализ TTL, обнаружение аномалий в записях A/NS и анализ распределения IP-адресов, могут помочь выявить подозрительные действия. Кроме того, организациям следует внести изменения во внутренние политики DNS, ввести ограничения на разрешение внешних DNS и интегрировать аналитику угроз. Эффективные стратегии реагирования включают долгосрочное отслеживание изменений в инфраструктуре, поддержание возможностей обнаружения атак на основе DNS и повышение прозрачности проводимых расследований в доменном пространстве, которое может быстро меняться.

Fast-Flux остается сложным средством атаки, манипулируя системами DNS для создания устойчивой и адаптируемой инфраструктуры, которая маскирует вредоносные действия и защищает от обычных попыток обнаружения. Понимание методов его работы имеет важное значение для разработки эффективных контрмер в области кибербезопасности.

#ParsedReport #CompletenessHigh
14-05-2025

DarkCloud Stealer: Comprehensive Analysis of a New Attack Chain That Employs AutoIt

https://unit42.paloaltonetworks.com/darkcloud-stealer-and-obfuscated-autoit-scripting/

Report completeness: High

Threats:
Darkcloud
Credential_stealing_technique
Junk_code_technique

Victims:
Government organizations

Industry:
Government, Telco

Geo:
Poland, Polish

TTPs:
Tactics: 6
Technics: 12

IOCs:
Url: 1
File: 3
Registry: 1
Hash: 3

Soft:
Flash Player, Process Explorer

Algorithms:
xor, sha256

Functions:
Call, StringMid, Execute, FileInstall, StringLower, extractShellCode, CallWindowProc

Win API:
VirtualProtect

Languages:
autoit

Links:
https://github.com/horsicq/Detect-It-Easy