#ParsedReport #CompletenessLow
03-06-2025

Malicious Ruby Gems Exfiltrate Telegram Tokens and Messages Following Vietnam Ban

https://socket.dev/blog/malicious-ruby-gems-exfiltrate-telegram-tokens-and-messages-following-vietnam-ban

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique
Credential_stealing_technique

Victims:
Developers

Geo:
Vietnam, Vietnamese

TTPs:

IOCs:
Url: 3
Domain: 1

Soft:
Telegram

Functions:
Telegram

Languages:
ruby

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на цепочку поставок, нацеленная на экосистему RubyGems, была связана с хакером, который опубликовал вредоносные программы, имитирующие легальные плагины Fastlane. Эти программы тайно передают данные через жестко запрограммированный сервер C2, в частности, используя разработчиков, которые ищут обходные пути во время запрета Telegram во Вьетнаме.
-----

Недавнее исследование выявило атаку на цепочку поставок, нацеленную на экосистему RubyGems, которую приписывают хакеру, действующему под псевдонимами Bi nam, buidanhnam и si_mobile. Этот злоумышленник опубликовал два вредоносных приложения под названием "fastlane-plugin-telegram-proxy" и "fastlane-plugin-proxy_teleram", которые предназначены для имитации законных плагинов Fastlane. Эти драгоценные камни облегчают скрытую фильтрацию данных, передаваемых через Telegram API, путем перенаправления всего трафика на сервер управления (C2), контролируемый участником. Примечательно, что атака совпала с общенациональным запретом Telegram во Вьетнаме, что указывает на то, что разработчики, ищущие обходные пути, вероятно, были основными целями атаки.

Вредоносные гемы в точности повторяют законный проект "fastlane-plugin-telegram", используемый для отправки уведомлений о развертывании с конвейеров CI/CD. Хакер внес минимальные изменения, в первую очередь заменив законную конечную точку API Telegram на жестко заданный адрес C2. Это изменение позволяет всем коммуникациям в Telegram, включая токены ботов, идентификаторы чатов, содержимое сообщений и вложенные файлы, передаваться через прокси—сервер участника. Важно отметить, что функциональные возможности плагина остались неизменными, а это означает, что законное взаимодействие с Telegram не будет затронуто, что усложнит усилия по обнаружению.

Жестко запрограммированная конечная точка C2, "rough-breeze-0c37.buidanhnam95.workers.dev", имеет решающее значение для работы вредоносных плагинов. Она служит заменой официальному API Telegram и собирает конфиденциальные данные без согласия пользователя. Хотя хакер утверждает, что прокси-сервер не хранит и не изменяет токены ботов, это утверждение не поддается проверке и вводит в заблуждение из-за потенциальной возможности регистрации или изменения данных при их прохождении через прокси-сервер. Общий дизайн и исполнение предполагают явное намерение украсть учетные данные под видом законного инструмента.

Особое беспокойство вызывает метод маскировки, использованный при создании этих драгоценных камней, который включал в себя незначительные типографские изменения в названии и брендинге, что позволило им органично вписаться в экосистему. Такой подход не только опирается на существующее доверие к законным инструментам Fastlane, но и использует возросший спрос на прокси-решения в свете запрета Telegram. Такой стратегический выбор времени подчеркивает осведомленность противника о местных геополитических событиях во Вьетнаме, повышая вероятность преднамеренной попытки использовать уязвимых разработчиков.

#ParsedReport #CompletenessLow
03-06-2025

The Transparent Tribe Vibe: APT36 Returns With CapraRAT Impersonating Viber

https://www.cloudsek.com/blog/the-transparent-tribe-vibe-apt36-returns-with-caprarat-impersonating-viber

Report completeness: Low

Actors/Campaigns:
Transparenttribe

Threats:
Caprarat
Crimson_rat
Androrat_rat

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1123, T1412, T1422, T1430, T1435, T1446, T1471, T1583.003

IOCs:
Hash: 3
IP: 1

Soft:
Viber, Android, Google Play

Algorithms:
md5

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, chats: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, или Transparent Tribe, использует инфраструктуру Contabo для размещения вредоносных программ CapraRAT и Crimson RAT, причем первая из них замаскирована под приложение Viber, что обеспечивает широкие возможности для наблюдения. Тактика группы заключается в использовании знакомых приложений для социальной инженерии для повышения эффективности вторжения.
-----

Было обнаружено, что APT36, также известный как Transparent Tribe, использует инфраструктуру VPS-провайдера Contabo для размещения вредоносных действий, связанных с трояном удаленного доступа для Android (RAT) CapraRAT, а также для целей Windows, использующих Crimson RAT. Недавние события указывают на усовершенствованную тактику, при которой группа теперь маскирует вредоносное по CapraRAT под законное приложение для обмена сообщениями Viber. Этот вредоносный вариант оснащен широкими правами доступа, которые позволяют записывать аудио, читать текстовые сообщения, отслеживать местоположение устройства и получать доступ к контактам и истории звонков.

Расследование, проведенное CloudSEK, показало, что APT36 по-прежнему отдает предпочтение Contabo в плане предоставления услуг хостинга и DNS, которые также были отмечены в предыдущем отчете об их усилиях по распространению CapraRAT. CapraRAT сам по себе является модифицированной версией AndroRAT с открытым исходным кодом. Чтобы выявить дополнительные потенциальные угрозы, был выполнен запрос Censys для определения местонахождения любой командно-диспетчерской инфраструктуры Crimson RAT, также использующей услуги Contabo. Проверка этих результатов была проведена с помощью VirusTotal, которая выявила значительные совпадения в тактике, методах и процедурах (TTP), связанных с APT36.

Более того, было обнаружено, что среди идентифицированной инфраструктуры один IP-адрес, обозначенный как Crimson RAT command-and-control, часто использовался APT36 для прошлых вредоносных операций. Детальный анализ файлов, передаваемых с этого IP-адреса, выявил несколько вредоносных пакетов APK, два из которых имеют общее название "com.moves.media.tubes", что тесно связано с кампаниями APT36 в этом году. Один конкретный пример был примечателен тем, что он выдавал себя за Viber, используя различные разрешения, которые предоставляют широкие возможности для наблюдения за зараженными устройствами.

Эти разрешения включают в себя возможность контролировать исходящие звонки, записывать аудио, читать и перехватывать SMS-сообщения, получать доступ к камере и контактным данным, точно отслеживать местоположение и управлять учетными записями. Этот особый подход, сочетающий стратегии социальной инженерии с законной маскировкой приложений, подчеркивает неустанное стремление APT36 использовать уязвимости, одновременно используя знакомую цифровую среду для повышения вероятности успешных вторжений. Полученные данные указывают на сохраняющуюся угрозу, исходящую от APT36, что требует принятия бдительных мер кибербезопасности для снижения подверженности таким изощренным вредоносным действиям.

#ParsedReport #CompletenessHigh
03-06-2025

OtterCookie Malware Analysis and Distribution

https://any.run/cybersecurity-blog/ottercookie-malware-analysis/

Report completeness: High

Actors/Campaigns:
Lazarus
Contagious_interview
Dev_popper

Threats:
Ottercookie
Invisibleferret
Beavertail
Anydesk_tool
Credential_dumping_technique

Geo:
Finland, Dprk, North korean

TTPs:

IOCs:
Url: 1
Domain: 1
IP: 2
File: 3
Hash: 4

Soft:
Node.js, macOS, Ubuntu, Google Chrome, Opera, Mozilla Firefox, Firefox, Unix

Wallets:
exodus_wallet

Crypto:
solana

Algorithms:
sha256

Functions:
require

Win Services:
bits

Languages:
javascript, python

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OtterCookie - это вредоносная программа-похититель, связанная с Lazarus Group, нацеленная на учетные данные и криптовалюту с помощью обманчивых предложений о работе. Он использует запутанный JavaScript для сокрытия вредоносных действий, таких как утечка данных через сервер C2 в США, и загружает программу InvisibleFerret RAT для постоянного доступа. Вредоносная программа использует тактику платформы MITRE ATT&CK, такую как сброс учетных данных и эксфильтрация данных, что указывает на растущие угрозы в технологическом и финансовом секторах.
-----

OtterCookie - это недавно обнаруженная вредоносная программа-похититель, связанная с Lazarus Group, северокорейским хакером, спонсируемым государством. В первую очередь она нацелена на учетные данные, криптокошельки и конфиденциальные данные лиц, работающих в технологическом и финансовом секторах. Эта вредоносная программа распространяется обманным путем, маскируясь под простую внештатную задачу по написанию кода и используя чисто выглядящие Node.js хранилища, чтобы свести к минимуму подозрения. Кампания, получившая название "Заразительное интервью", включает в себя тактику социальной инженерии, включая поддельные предложения о работе и проблемы с кодированием.

Вредоносная программа сама по себе является сложной и использует сильно запутанный код JavaScript, чтобы избежать обнаружения. Она запускается с помощью уникальной последовательности инициализации, которая использует преднамеренные ошибки для запуска загрузки вредоносного кода с удаленного сервера. В частности, после настройки сервера Node.js он имитирует ошибку в коде, которая побуждает вредоносную программу загружать и выполнять дополнительную полезную нагрузку из внешнего API. Этот метод демонстрирует творческий подход к развертыванию вредоносного ПО, повышая его шансы остаться незамеченным.

OtterCookie нацелен на различные типы конфиденциальных данных, включая учетные данные браузера, хранящиеся в разных профилях, цепочки для ключей macOS и информацию о криптовалютных кошельках, таких как Solana и Exodus. После сбора необходимых данных OtterCookie отправляет их на сервер командно-диспетчерского управления (C2), расположенный в США, через порт 1224 - метод, соответствующий более ранним кампаниям Lazarus, таким как Beavertail и InvisibleFerret. Вредоносная программа сжимает украденные данные перед их отправкой, используя знакомые имена файлов и методы, которые использовались при предыдущих атаках.

Кроме того, после первоначальной фильтрации данных OtterCookie приступает к следующему этапу атаки, загружая троянскую программу удаленного доступа InvisibleFerret (RAT), которая помогает поддерживать постоянный доступ к скомпрометированным системам. Этот прогресс демонстрирует взаимосвязанность семейств вредоносных программ в рамках операций Lazarus Group, а также их постоянное внимание к краже, связанной с криптовалютами, что облегчает отмывание денег и обеспечивает анонимность.

Поведение вредоносного ПО соответствует нескольким тактикам, описанным в платформе MITRE ATT&CK, таким как обнаружение системной информации, сброс учетных данных операционной системы и использование протоколов прикладного уровня для эксфильтрации. Эволюция OtterCookie усиливает необходимость в постоянной бдительности, поскольку хакеры становятся все более изощренными и прибегают к обману, особенно с помощью социальной инженерии и нацеливания на сектора с высокой добавленной стоимостью.

#ParsedReport #CompletenessLow
03-06-2025

In-depth Analysis of a 2025 ViperSoftX Variant

https://labs.k7computing.com/index.php/in-depth-analysis-of-a-2025-vipersoftx-variant/

Report completeness: Low

Threats:
Vipersoftx

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1053.005, T1059.001, T1071.001, T1082, T1547.001, T1555.003, T1555.004

IOCs:
File: 2
Hash: 1

Soft:
Task Scheduler, Windows scheduled task, Windows Registry, Keepass, Twitter

Wallets:
exodus_wallet, electrum, metamask, coinbase

Crypto:
binance

Algorithms:
xor, base64

Functions:
Get-ServerID, Get-UserInfo

Win Services:
WebClient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года появился вариант вредоносного ПО на базе PowerShell, отличающийся улучшенной модульностью, постоянством и скрытностью благодаря трехуровневой стратегии сохранения. Оно эффективно собирает конфиденциальные пользовательские данные и использует шифр XOR для обмена данными C2, что улучшает его производительность и возможности скрытности.
-----

В начале 2025 года на подпольных форумах появился новый вариант вредоносного ПО на базе PowerShell, напоминающий ViperSoftX stealers из 2024 года. Эта последняя версия демонстрирует улучшенные механизмы модульности, скрытности и постоянства, что делает ее более серьезной угрозой. Структурированная логика выполнения вредоносного ПО демонстрирует его модульную конструкцию, которая позволяет ему эффективно выполнять задачи на нескольких этапах, включая инициализацию, настройку сохраняемости и взаимодействие с серверами управления (C2).

В версии 2024 года использовался простой мьютекс для предотвращения запуска нескольких экземпляров, что заставляло его ждать 10 секунд перед выходом, если обнаруживалось, что он уже активен. Однако в более новой версии 2025 года реализована более надежная трехуровневая стратегия сохранения. Он устанавливает запланированную задачу Windows с именем "WindowsUpdateTask", которая гарантирует запуск вредоносного ПО при входе пользователя в систему, а также вносит изменения в реестр для повышения устойчивости к перезагрузкам. Кроме того, он поддерживает улучшенную связь с C2, проверяя, перезапустился ли C2, чтобы сбросить сеанс или получить новые команды, если нет.

Версия 2025 года расширила свои целевые возможности, поддерживая более широкий спектр расширений и приложений для кошельков, таких как Exodus, Atomic, Electrum, а также различные расширения для браузера, включая MetaMask, Binance и Coinbase. Он активно собирает конфиденциальные данные от пользователей, такие как сведения об операционной системе, имена пользователей, IP-адреса и обнаруженные приложения, тем самым расширяя свои функциональные возможности по удалению конфиденциальной информации.

Что касается обмена данными, вредоносная программа использует базовый шифр XOR для шифрования полезной нагрузки, передаваемой на сервер C2, которая затем расшифровывается при получении. Эта стратегия обеспечивает усовершенствованный процесс выполнения, при котором каждая расшифрованная полезная нагрузка выполняется как задание PowerShell. Преимущества таких заданий заключаются в том, что они менее заметны, не блокируют выполнение и имеют возможность тайм-аута, что значительно повышает скрытность и стабильность вредоносного ПО по сравнению с его предшественником.

#ParsedReport #CompletenessLow
03-06-2025

The Security Risks of Internet-Exposed Solar Power Systems

https://www.forescout.com/blog/the-security-risks-of-internet-exposed-solar-power-systems/

Report completeness: Low

Victims:
Solar power vendors, Device owners

Industry:
Energy

Geo:
China, Netherlands, Portugal, Japan, Germany, Chinese, Asia, Italy, Singapore, Greece, Austria

CVEs:
CVE-2022-40881 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec solarview compact firmware (6.00)

CVE-2022-29303 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec sv-cpt-mc310 firmware (6.00)

CVE-2023-29919 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec solarview compact firmware (le6.0)

CVE-2023-23333 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec solarview compact firmware (le6.00)


ChatGPT TTPs:
do not use without manual check
T1046, T1059, T1068, T1090.003, T1133, T1190, T1583.001

IOCs:
IP: 43

Soft:
Twitter

Functions:
Internet-Exposed

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сектор солнечной энергетики выявил 46 новых уязвимостей, особенно в интерфейсах управления удаленными инверторами, причем устройства в основном расположены в Европе. Ботнеты активно используют такие известные уязвимости, как CVE-2022-29303 и CVE-2023-29919, и был выявлен глобальный ландшафт угроз, с целевыми IP-адресами в основном из Сингапура, Германии и Нидерландов.
-----

Растущее использование солнечной энергии привлекло внимание к значительным уязвимостям в области кибербезопасности в этом секторе. Недавнее исследование выявило 46 новых уязвимостей, связанных с системами солнечной энергетики, с акцентом на интерфейсы управления удаленными инверторами, доступ к которым осуществляется через облачные приложения или прямыми методами. В частности, в ходе анализа было выявлено около 35 000 устройств, использующих солнечную энергию, преимущественно в Европе, где расположено 76% этих уязвимых устройств. Примечательно, что за последние два года количество подключенных к Интернету компактных устройств CONTEC SolarView увеличилось на 350%.

Несмотря на стремительный рост солнечной энергетики, уязвимость интерфейсов управления представляет собой существенную угрозу безопасности. Предыдущие выводы указывают на то, что эти интерфейсы могут быть подвержены различным уязвимостям, описанным в отчете SUN:DOWN, некоторые из которых, как сообщается, нацелены на ботнеты. Опрос десяти крупнейших производителей уязвимых устройств показал, что за последнее десятилетие уязвимости были обнаружены в продуктах всех этих компаний; интересно, что такие производители, как Huawei и Ginlong Solis, выделяются своим отсутствием в этом списке, несмотря на их преобладающую долю на рынке. Географическое распределение этих устройств сильно смещено в сторону Европы: на Германию и Грецию приходится по 20% от общего числа устройств, за ними следуют Япония и Португалия (по 9%).

Несколько уязвимостей, обнаруженных в компактных устройствах SolarView, вызывают особую обеспокоенность, поскольку в настоящее время они активно используются ботнетами. К ним относятся CVE-2022-29303, CVE-2022-40881, CVE-2023-23333 и CVE-2023-29919 — три из них классифицируются как уязвимости при внедрении команд, в то время как последняя относится к небезопасным разрешениям. Анализ, объединяющий данные из среды взаимодействия с злоумышленниками и Greynoise, выявил 43 IP-адреса, которые были нацелены на эти уязвимые устройства в течение предыдущего года, причем значительная часть из них была связана с операциями ботнета или поиском слабых мест. Среди них значительное число IP-адресов размещено в таких регионах, как Сингапур (21%), Германия (16%) и Нидерланды (14%), что свидетельствует о глобальной угрозе, влияющей на инфраструктуру солнечной энергетики.

#cyberthreattech

Кирилл у себя в канале написал новость про создание маппинга названий группировок Microsoft|CrowdStrike.
QB_channel (подписывайтесь, кстати)

Мы задачкой маппинга названий занимаемся уже пару лет в рамках продукта CTT ThreatKB.

Думаю, что вот эта репа может быть полезной.
https://github.com/rstcloud/awesome-threat-actor-resources/tree/main

#technique

LOLCLOUD - Azure Arc - C2aaS
Exploring Azure Arc’s overlooked C2aaS potential. Attacking and Defending against its usage and exploring usecases.

https://blog.zsec.uk/azure-arc-c2aas/

#technique

OnionC2
C2 writen in Rust & Go powered by Tor network.

https://github.com/zarkones/OnionC2

P.s. На реддитах пишут, что начали появляться зеркала репы с малварью в подарок.

#technique

scepter-rs
A Rust-based server-agent Command-and-Control designed to maximize compatability with non-standard devices. scepter-rs provides a minimal command and control interface that can be leveraged from your favorite C2 framework.

https://github.com/0xTriboulet/scepter-rs

#ParsedReport #CompletenessLow
04-06-2025

Phishing campaign in progress for Liberomail accounts

https://cert-agid.gov.it/news/campagna-di-phishing-in-corso-per-gli-account-di-liberomail/

Report completeness: Low

Victims:
Liberomail users

Geo:
Italian

ChatGPT TTPs:
do not use without manual check
T1102, T1114, T1566.001, T1566.002

Soft:
Telegram