#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе целенаправленной кампании фишинга, нацеленной на финансовых директоров, был применен многоэтапный подход к внедрению инструмента удаленного доступа NetBird с использованием специально созданных электронных писем и вводящих в заблуждение методов CAPTCHA. Злоумышленники использовали ZIP-файл, содержащий скрипты VBS, для установки бэкдоров, что подчеркивает тенденцию к постоянному нападению на финансовых руководителей.
-----

15 мая системы безопасности электронной почты Trellix обнаружили целенаправленную фишинговую кампанию, направленную конкретно на финансовых директоров и топ-менеджеров из различных отраслей, включая банковские, энергетические, страховые и инвестиционные компании в Европе, Африке, Канаде, на Ближнем Востоке и в Южной Азии. Эта многоэтапная фишинговая атака в первую очередь была направлена на развертывание на компьютерах жертв NetBird, легитимного инструмента удаленного доступа, основанного на Wireguard. Растущее использование хакерами таких приложений удаленного доступа указывает на тенденцию, когда злоумышленники проявляют настойчивость, чтобы способствовать более глубокому проникновению в целевые сети. URL-адрес первоначального фишингового электронного письма был заблокирован Trellix из-за подозрительного поведения captcha.

Цепочка атак началась с рассылки электронного письма от имени рекрутера Rothschild & Co, в котором предлагалась "стратегическая возможность". Получатели этого электронного письма открывали прикрепленную "брошюру", которая на самом деле была размещенной на Firebase страницей, защищенной с помощью капчи для математического теста. Жертвам, успешно разгадавшим капчу, было предложено загрузить ZIP-файл с именем "Rothschild_&_Co-6745763.zip". Этот файл содержал скрипт VBS, который впоследствии загрузил другой скрипт VBS для автоматической установки приложений NetBird и OpenSSH, создания скрытой учетной записи локального администратора и включения протокола удаленного рабочего стола (RDP). Это позволило злоумышленникам получить зашифрованный бэкдор для удаленного доступа.

Фишинговое электронное письмо содержало заголовок "Возможность лидерства Rothschild & Co (конфиденциально)" и ссылку, выдаваемую за подлинный PDF-файл, которая перенаправляла пользователей на поддельный URL-адрес, размещенный в приложении Firebase. Истинный URL-адрес перенаправления был запутан, и для его расшифровки требовалась функция JavaScript, прежде чем предоставлять доступ. Злоумышленники все чаще используют индивидуальные механизмы ввода капчи для обхода существующих средств защиты от фишинга, о чем свидетельствует их выбор методов ввода капчи, которые могут обмануть обычные службы безопасности, такие как Cloudflare Turnstile или Google reCAPTCHA. Перейдя по якобы безобидной ссылке для скачивания, жертвы невольно загружали вредоносный ZIP-файл, который инициировал дальнейшие действия по проникновению, описанные выше.

Дальнейшее расследование привело к выявлению более старых фишинговых страниц, использующих аналогичные методы проверки с помощью капчи, что выявило закономерность в методах злоумышленников. Одним из таких примеров была активная ссылка на ZIP-файл, содержащий ту же полезную нагрузку VBS, что и в недавней кампании, что указывает на то, что у хакеров есть целый набор ресурсов, которые они перезапускают под разными личинами. Кроме того, при обобщении полученных данных исследователи отметили параллели с доказательствами, предоставленными французским управлением финансовых рынков (AMF), что позволяет предположить более широкую взаимосвязь тактики и методов между различными случаями фишинга. Хотя приманка, использованная в отчете AMF, отличалась от выводов Trellix, лежащие в ее основе методы, продемонстрированные злоумышленниками, сохраняли последовательность.

#ParsedReport #CompletenessHigh
29-05-2025

Threat Intelligence NodeSnake Malware Campaign

https://www.quorumcyber.com/wp-content/uploads/2025/04/20250416-Higher-Education-Sector-RAT-MP.pdf

Report completeness: High

Threats:
Nodesnake
Interlock
Xworm_rat
Asyncrat
Venomrat

Victims:
Uk based universities, Large or high value organisations

Industry:
Education

Geo:
America

TTPs:
Tactics: 8
Technics: 7

IOCs:
Domain: 8
Hash: 7
IP: 8
File: 22
Url: 4

Soft:
Trycloudflare, Linux

Algorithms:
xor, sha256, md5, sha1

Functions:
Get-Service, Get-PSDrive

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NodeSnake.A и NodeSnake.B - это сложные JavaScript-приложения, нацеленные на высшие учебные заведения Великобритании, которые развиваются с улучшенными возможностями скрытности и модульности. NodeSnake.B обеспечивает выполнение команд в режиме реального времени и использует Cloudflare для обмена данными C2, что облегчает перемещение по сети и постоянный доступ. Данные указывают на принадлежность NodeSnake к группе программ-вымогателей Interlock, что указывает на тенденцию использования киберпреступниками надежных сервисов для доставки вредоносных программ.
-----

NodeSnake.A и NodeSnake.B - это трояны удаленного доступа (RATs), нацеленные на высшие учебные заведения Великобритании. Оба RAT написаны на JavaScript и выполняются с помощью NodeJS. NodeSnake претерпел изменения, улучшив скрытность, модульную функциональность и методы уклонения. NodeSnake.A - это первоначальный вариант, в то время как NodeSnake.B обеспечил гибкость в работе и постоянный доступ. Вредоносная программа использует Cloudflare для обмена данными по системе command-and-control (C2) и использует туннелирование для скрытого доступа к таким сервисам, как SSH и RDP, для перемещения в горизонтальном направлении. NodeSnake.B позволяет выполнять команды в режиме реального времени и поддерживает несколько типов полезной нагрузки, включая CMD для команд оболочки. Он скрывает свои действия, используя такие методы, как запись записей в реестре для сохранения и использование случайных имен файлов, чтобы избежать обнаружения. Предполагается, что существует связь между NodeSnake и группой программ-вымогателей Interlock, которая применяет стратегии двойного вымогательства, нацеленные на крупные организации. Interlock использует такие тактики, как утечка данных и последующее шифрование уведомлений о требовании выкупа, для систем Linux и Windows. Компания Quorum Cyber отметила рост числа кампаний с использованием туннелей Cloudflare для доставки RAT, которые часто начинаются с попыток фишинга. NodeSnake взаимодействует по протоколу HTTP/HTTPS с предопределенными серверами C2, часто проксируемыми Cloudflare, и использует динамические соединения C2 со случайными задержками, препятствующими обнаружению. Его архитектура позволяет выполнять различные полезные нагрузки независимо от родительских процессов. Эволюция NodeSnake отражает растущую сложность, модульность в управлении полезной нагрузкой и усовершенствованные технологии скрытности.

#ParsedReport #CompletenessMedium
30-05-2025

Possible APT32/Ocean Lotus Installer abusing MST Transforms

https://dmpdump.github.io/posts/Possible-Ocean-LotusInstaller-Abusing-MST-Transforms/

Report completeness: Medium

Actors/Campaigns:
Oceanlotus

Threats:
Dll_sideloading_technique

Geo:
Taiwan, Vietnam

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1140, T1204.002, T1218.005, T1574.002, T1620

IOCs:
Hash: 5
File: 10
Path: 1
Url: 1

Soft:
Linux, Android

Algorithms:
lzma, aes, aes-256, xor

Functions:
GetModuleHandle

Win API:
ShellExecuteExW, RtlUserThreadStart, LoadLibraryExA, ZwProtectVirtualMemory

Languages:
rust

Links:
https://github.com/dmpdump

#ParsedReport #ExtractedSchema

Classified images:
table: 2, code: 7, windows: 1, dump: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ISO-образ, связанный с Ocean Lotus group, содержит пользовательскую библиотеку DLL для дополнительной загрузки DLL, выполняющую вредоносную полезную нагрузку с использованием перехвата функций и исправления в памяти. Он использует шелл-код, расшифрованный с помощью уникального 32-байтового ключа, и подключается к серверу C2, демонстрируя передовые методы уклонения.
-----

ISO-образ, идентифицированный как ced7fe9c5ec508216e6dd9a59d2d5193a58bdbac5f41a38ea97dd5c7fceef7a5, загруженный на сайт VirusTotal из Тайваня, содержит вредоносные компоненты, относящиеся к группе Ocean Lotus (APT32). ISO-файл содержит пользовательскую библиотеку DLL с именем Transforms.dll, которая реализует две экспортируемые функции: LogSetupBeforeInstall и LogSetupAfterInstall. Когда WindowsPCHealthCheckSetup.msi запускается с помощью ярлыка, запускается законный исполняемый файл PcHealthCheck, а также вредоносная библиотека DLL, tbs.dll, удаленная из папки данных локального приложения пользователя.

Заражение происходит при боковой загрузке библиотеки DLL, где tbs.библиотека dll запускается с помощью PcHealthCheck.exe, инициируя серию вредоносных действий, характеризующихся перехватом функций и исправлением библиотеки DLL в памяти. Вредоносная программа сначала перехватывает функцию RtlUserThreadStart с помощью модулей ntdll.dll и kernel32.dll, а затем манипулирует контекстом потока, чтобы перенаправить выполнение на вредоносный код. Критическая функция, известная как fn_pload_load, служит в качестве трамплина, который сначала запускает вредоносную логику перед вызовом исходной функции RtlUserThreadStart.

В рамках этого процесса вызывается fn_pload_decrypt_dll_patch, который использует пользовательский алгоритм расшифровки для обработки большого двоичного объекта с шелл-кодом. Уникальный 32-байтовый ключ расшифровывает полезную нагрузку, которая, как выяснилось, содержит сигнатуру сжатия по методу Лемпеля-Зива-Маркова (LZMA). Затем шелл-код обрабатывается путем определения местоположения и исправления допустимых xpsservices.dll в памяти, что позволяет выполнять дополнительные сегменты шеллкода. Этот процесс включает изменение защиты памяти с помощью ZwProtectVirtualMemory, чтобы предоставить права на выполнение для введенной полезной нагрузки.

Следующий этап включает в себя другой сжатый с помощью LZMA шеллкод, который распаковывает и выполняет дополнительную полезную нагрузку, написанную на Rust, которая включает связанную библиотеку libcurl. Эта последняя полезная нагрузка подключается к серверу управления, расположенному по адресу http://194.87.108.94:80/users/b97fc88c-cff5-4433-a784-df2a5e094452/profile/information и маскируется под Android-устройство Huawei, используя поддельную строку User-Agent, имитирующую трафик мобильного браузера. Изощренная тактика уклонения и многоэтапный путь выполнения демонстрируют изощренные методы, используемые этим хакером, подчеркивая необходимость бдительного мониторинга подобной деятельности.

#ParsedReport #CompletenessMedium
30-05-2025

When Samsung's Magic Turns Tragic: A Tale of Unauthorized Mining

https://www.esentire.com/blog/when-samsungs-magic-turns-tragic-a-tale-of-unauthorized-mining

Report completeness: Medium

Threats:
Xmrig_miner
Anydesk_tool
Lolbin_technique
Disabling_antivirus_technique

CVEs:
CVE-2025-4632 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- samsung magicinfo 9 server (<21.1052.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1027, T1053.005, T1057, T1059.001, T1059.003, T1069.002, T1078, T1098, T1105, have more...

IOCs:
File: 8
Path: 1
IP: 3
Domain: 1
Url: 7
Hash: 12

Soft:
Microsoft Defender, curl

Crypto:
monero

Win Services:
WebClient

Languages:
powershell

Links:
https://github.com/eSentire/iocs/blob/main/CVE-2025-4632/CVE-2025-4632-IoCs.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Критическая уязвимость (CVE-2025-4632) в сервере Samsung MagicInfo 9 Server позволила выполнить удаленный код без проверки подлинности, что привело к развертыванию шифровальщика (XMRig), замаскированного под "smi2.exe - и инструмент удаленного управления AnyDesk. Злоумышленники использовали PowerShell и пакетные сценарии для манипулирования мерами безопасности и повышения стойкости, сосредоточившись на несанкционированном майнинге Monero и сохраняя скрытность, чтобы избежать обнаружения.
-----

В середине мая 2025 года хакеры воспользовались критической уязвимостью (CVE-2025-4632) в сервере Samsung MagicInfo 9, которая позволила удаленно выполнять код и записывать файлы без проверки подлинности с привилегиями системного уровня. Эта уязвимость имеет оценку CVSS 9,8, что указывает на ее серьезное воздействие. После первоначальной эксплуатации злоумышленники использовали автоматизированные команды для повышения устойчивости, манипулируя мерами безопасности конечных точек и устанавливая инструмент удаленного управления AnyDesk вместе с вариантом майнера криптовалюты XMRig, замаскированным под "smi2.exe." Конечной целью был несанкционированный майнинг Monero (XMR).

Атака началась с разведывательных команд, использующих легитимный процесс tomcat9.exe подтверждено, что он активен с 7 мая. К 15 мая были отмечены первые признаки компрометации, когда попытки команд проверить наличие процесса криптомайнинга указывали на систематический подход к оценке предыдущих заражений или активного майнинга. Впоследствии была выполнена многоэтапная команда PowerShell с помощью cmd.exe был создан новый локальный пользователь с правами администратора, зарегистрированы каталоги исключений в Microsoft Defender для обхода антивирусной проверки и загружено приложение AnyDesk для обеспечения удаленного доступа. Этот инструмент был настроен для запуска в Windows, что позволило злоумышленникам сохранить контроль.

Злоумышленники использовали в своих операциях как PowerShell, так и пакетные скрипты. Пакетный скрипт win.bat организовал загрузку и выполнение XMRig с сервера управления (C2) злоумышленника, включая проверку безопасности существующих процессов интеллектуального анализа данных, чтобы избежать избыточности. Кроме того, он использовал различные утилиты, такие как certutil и curl, чтобы гарантировать успешную доставку полезной нагрузки, даже если некоторые утилиты были отключены. Сценарий PowerShell, win.ps1, служил альтернативным механизмом для загрузки и выполнения cryptominer, используя преимущества законных возможностей Windows и обеспечивая скрытность и постоянство при выполнении предопределенных условий.

Заключительный этап включал развертывание XMRig под названием smi2.exe, который был настроен на бесшумную и автономную работу, с приоритетом производительности и скрытности, чтобы избежать обнаружения. Конфигурации включали опции автосохранения и минимальную регистрацию, чтобы скрыть свое присутствие. Установка AnyDesk с расширенными функциональными возможностями позволила расширить удаленный доступ и контроль над скомпрометированными системами, облегчив текущие операции и избежав мер обнаружения, обычно применяемых предприятиями. Таким образом, эта атака является примером использования сложных методов в сочетании с законным программным обеспечением для обеспечения постоянного доступа и незаконного майнинга криптовалют в скомпрометированных системах.

#ParsedReport #CompletenessLow
29-05-2025

Monkey-Patched PyPI Packages Use Transitive Dependencies to Steal Solana Private Keys

https://socket.dev/blog/monkey-patched-pypi-packages-steal-solana-private-keys

Report completeness: Low

Actors/Campaigns:
Cappership

Threats:
Supply_chain_technique

Victims:
Developers, Developer environments, Ci pipelines

Industry:
Financial

TTPs:

IOCs:
File: 6
Email: 1

Crypto:
solana

Algorithms:
rsa-2048, sha256, base64

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе атаки на PyPI по цепочке поставок, проведенной субъектом "cappership", в пакет "semantictypes" была встроена полезная нагрузка для кражи нажатия клавиши, влияющая на множество зависимостей. Он захватывает секретные ключи, изменяя функции генерации ключей в экосистеме Solana, шифруя их с помощью RSA-2048 и отправляя на удаленный сервер. Атака использует методы социальной инженерии для завоевания доверия, позволяя незаметно выполнять вредоносный код с помощью мягких обновлений.
-----

Исследовательская группа Socket по изучению угроз выявила сложную атаку цепочки поставок на индекс пакетов Python (PyPI), выполненную субъектом, использующим псевдоним "cappership". Эта атака включала внедрение полезной нагрузки для кражи нажатий клавиш в пакет Python под названием "semantictypes", который впоследствии сформировал транзитивные зависимости с пятью другими пакетами: "solana-keypair", "solana-publickey", "solana-mev-agent-py", "solana-trading-bot" и "lock".`. В результате простая установка любого из этих пакетов запускает установку и выполнение вредоносной полезной нагрузки из "semantictypes`.

Вредоносная программа работает с помощью методов генерации ключей с автоматическим исправлением ошибок в экосистеме Solana. В частности, она изменяет функции во время выполнения без изменения исходного кода. Каждый раз, когда создается пара ключей, вредоносная программа незаметно перехватывает закрытый ключ, шифрует его с помощью открытого ключа RSA-2048 и отправляет зашифрованный ключ, инкапсулированный в транзакцию "spl.memo", в Solana Devnet, что позволяет хакеру извлекать и расшифровывать эти ключи для несанкционированного доступа к уязвимым кошелькам. Эта скрытая операция гарантирует, что вредоносное ПО останется незамеченным пользователем и стандартными мерами безопасности.

Во время различных обновлений этих пакетов присутствие вредоносного ПО изначально скрывалось, поскольку для укрепления доверия разработчиков выпускались безопасные версии. Вредоносная функциональность была внедрена в более поздних версиях, особенно в январе 2025 года, что значительно расширило возможности атаки, поскольку зависимости обеспечивали выполнение кода даже в том случае, если вредоносный пакет не был явно импортирован. Более того, злоумышленник использовал передовые методы социальной инженерии, чтобы придать достоверность своим вредоносным пакетам, создавая безупречные файлы README и связывая их с законными онлайн-ресурсами, такими как Stack Overflow и GitHub. Это не только скрывало их злонамеренные намерения, но и использовало общие проблемы разработчиков для повышения доверия к их пакетам.

Атака соответствует задокументированной тактике в рамках MITRE ATT&CK, в частности, нацелена на компрометацию цепочки поставок (T1195.002), использование асимметричной криптографии для зашифрованной связи (T1573.002) и автоматизированный сбор конфиденциальных данных (T1119). Такое сочетание вредоносных тактик подчеркивает значительную угрозу для среды разработки и конвейеров CI в блокчейн-пространстве, где доступ к закрытым ключам и учетным данным представляет собой настоящую сокровищницу для злоумышленников.

#ParsedReport #CompletenessHigh
30-05-2025

Download suck for tail: tactics and instrument groups BO Team

https://securelist.ru/bo-team/112753/

Report completeness: High

Actors/Campaigns:
Bo_team

Threats:
Darkgate
Brockendoor
Remcos_rat
Sdelete_tool
Babuk
Lockbit
Lolbin_technique
Reversessh_tool
Procdump_tool
Minidump_tool
Handlekatz_tool
Nanodump_tool
Ntdsutil_tool
Wevtutil_tool
Anydesk_tool
Shadow_copies_delete_technique

Victims:
State companies, Technology organizations, Telecommunications organizations, Production organizations

Industry:
Telco, Energy

Geo:
Russian, Russia

TTPs:
Tactics: 6
Technics: 0

IOCs:
Domain: 11
File: 14
Path: 1
Url: 1
Hash: 61
IP: 8

Soft:
Telegram, Windows Defender, active directory, Active Directory domain services, Linux, gmail

Algorithms:
base64

Functions:
Get-Localuser

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Bo Team, которая появится в 2024 году, нацелена на российские компании с помощью изощренных фишинговых кампаний и внедрения вредоносных программ, в том числе программ-вымогателей Broeckendoor и Babuk. Они используют методы "жизни за пределами суши", чтобы избежать обнаружения, используют законные инструменты для перемещения в разные стороны и используют пользовательские исполняемые программы для удаления данных, демонстрируя передовые и уникальные оперативные тактики в текущем конфликте с Россией.
-----

Группа Bo Team появилась в начале 2024 года, заявив о поддержке Украины в продолжающемся конфликте с Россией, о чем свидетельствуют их атаки, направленные исключительно против российских организаций. Их методология атак в основном включает фишинговые электронные письма с вредоносными вложениями для получения первоначального доступа. Как только пользователь взаимодействует с вложениями, злоумышленники внедряют вредоносные программы, такие как Broeckendoor, Remcos и DarkGate. После проникновения в систему команда Bo выполняет деструктивные действия, включая удаление резервных копий и критически важных файлов с помощью утилиты SDELETE, а также использует программу-вымогатель Babuk для вымогательства выкупа у жертв.

Эта группа демонстрирует заметное отклонение от типичной тактики других хактивистских организаций в проукраинской сфере. Они сочетают знакомые инструменты хакеров с уникальным набором вредоносных программ, включая специализированные версии бэкдоров и программу-вымогателя Babuk, вместо более часто используемых опций, таких как Lockbit. Их фишинговые кампании являются изощренными и имитируют законные компании, участвующие в технологических процессах, чтобы привлечь потенциальных клиентов в таких чувствительных секторах, как технологии и энергетика. Такая тщательная разработка повышает вероятность того, что пользователи запустят вредоносные файлы.

Как только первоначальный доступ получен, команда Bo использует методы LotL для минимизации обнаружения и обхода мер безопасности. Они широко используют легальные инструменты Windows, такие как PowerShell, для сбора системной информации при подготовке своих атак. Например, они проверяют наличие антивирусных решений для разработки стратегии своих дальнейших действий, часто используя скомпрометированные учетные записи сотрудников организации для перемещения по сети.

Подробные методологии команды Bo включают использование командных утилит, таких как ntdsutil, для извлечения баз данных Active Directory и разработки методов манипулирования для скрытого доступа к данным аутентификации Telegram. Их схема работы также демонстрирует передовые методы маскировки их действий, такие как использование стандартных системных процессов для установки вредоносных фреймворков, что позволяет избежать использования систем обнаружения поведения.

Было замечено, что они используют специально созданные исполняемые файлы, такие как AV_Scan.exe, для автоматизации удаления конфиденциальных данных и одновременного сохранения конфиденциальности. Их выбор действовать автономно, без открытого сотрудничества с другими известными группами хактивистов, указывает на совершенно уникальную операционную идентичность в среде хактивистов.

Операции группы Бо представляют собой сложную угрозу для российских организаций, характеризующуюся длительным проникновением и расчетливыми ударами, а не нанесением немедленного ущерба. Их автономные, высокоадаптивные стратегии в сочетании с обширным арсеналом вредоносных программ и инструментов делают их выдающимися хакерами, что отражает их идеологические мотивы в отношении российских организаций во время продолжающегося конфликта.

#ParsedReport #CompletenessLow
30-05-2025

Stealth in 100 Lines: Analyzing PAM Backdoors in Linux

https://www.nextron-systems.com/2025/05/30/stealth-in-100-lines-analyzing-pam-backdoors-in-linux/

Report completeness: Low

Threats:
Credential_stealing_technique
Thor

ChatGPT TTPs:
do not use without manual check
T1003, T1071.001, T1078, T1547.009, T1556.003

IOCs:
Hash: 5

Soft:
Linux

Algorithms:
sha256

Functions:
pam_sm_authenticate

Links:
https://github.com/linux-pam/linux-pam

#ParsedReport #GeneratedSchema
Generated with GPT-4