#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года появился вариант вредоносного ПО на базе PowerShell, отличающийся улучшенной модульностью, постоянством и скрытностью благодаря трехуровневой стратегии сохранения. Оно эффективно собирает конфиденциальные пользовательские данные и использует шифр XOR для обмена данными C2, что улучшает его производительность и возможности скрытности.
-----

В начале 2025 года на подпольных форумах появился новый вариант вредоносного ПО на базе PowerShell, напоминающий ViperSoftX stealers из 2024 года. Эта последняя версия демонстрирует улучшенные механизмы модульности, скрытности и постоянства, что делает ее более серьезной угрозой. Структурированная логика выполнения вредоносного ПО демонстрирует его модульную конструкцию, которая позволяет ему эффективно выполнять задачи на нескольких этапах, включая инициализацию, настройку сохраняемости и взаимодействие с серверами управления (C2).

В версии 2024 года использовался простой мьютекс для предотвращения запуска нескольких экземпляров, что заставляло его ждать 10 секунд перед выходом, если обнаруживалось, что он уже активен. Однако в более новой версии 2025 года реализована более надежная трехуровневая стратегия сохранения. Он устанавливает запланированную задачу Windows с именем "WindowsUpdateTask", которая гарантирует запуск вредоносного ПО при входе пользователя в систему, а также вносит изменения в реестр для повышения устойчивости к перезагрузкам. Кроме того, он поддерживает улучшенную связь с C2, проверяя, перезапустился ли C2, чтобы сбросить сеанс или получить новые команды, если нет.

Версия 2025 года расширила свои целевые возможности, поддерживая более широкий спектр расширений и приложений для кошельков, таких как Exodus, Atomic, Electrum, а также различные расширения для браузера, включая MetaMask, Binance и Coinbase. Он активно собирает конфиденциальные данные от пользователей, такие как сведения об операционной системе, имена пользователей, IP-адреса и обнаруженные приложения, тем самым расширяя свои функциональные возможности по удалению конфиденциальной информации.

Что касается обмена данными, вредоносная программа использует базовый шифр XOR для шифрования полезной нагрузки, передаваемой на сервер C2, которая затем расшифровывается при получении. Эта стратегия обеспечивает усовершенствованный процесс выполнения, при котором каждая расшифрованная полезная нагрузка выполняется как задание PowerShell. Преимущества таких заданий заключаются в том, что они менее заметны, не блокируют выполнение и имеют возможность тайм-аута, что значительно повышает скрытность и стабильность вредоносного ПО по сравнению с его предшественником.

#ParsedReport #CompletenessLow
03-06-2025

The Security Risks of Internet-Exposed Solar Power Systems

https://www.forescout.com/blog/the-security-risks-of-internet-exposed-solar-power-systems/

Report completeness: Low

Victims:
Solar power vendors, Device owners

Industry:
Energy

Geo:
China, Netherlands, Portugal, Japan, Germany, Chinese, Asia, Italy, Singapore, Greece, Austria

CVEs:
CVE-2022-40881 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec solarview compact firmware (6.00)

CVE-2022-29303 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec sv-cpt-mc310 firmware (6.00)

CVE-2023-29919 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec solarview compact firmware (le6.0)

CVE-2023-23333 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec solarview compact firmware (le6.00)


ChatGPT TTPs:
do not use without manual check
T1046, T1059, T1068, T1090.003, T1133, T1190, T1583.001

IOCs:
IP: 43

Soft:
Twitter

Functions:
Internet-Exposed

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сектор солнечной энергетики выявил 46 новых уязвимостей, особенно в интерфейсах управления удаленными инверторами, причем устройства в основном расположены в Европе. Ботнеты активно используют такие известные уязвимости, как CVE-2022-29303 и CVE-2023-29919, и был выявлен глобальный ландшафт угроз, с целевыми IP-адресами в основном из Сингапура, Германии и Нидерландов.
-----

Растущее использование солнечной энергии привлекло внимание к значительным уязвимостям в области кибербезопасности в этом секторе. Недавнее исследование выявило 46 новых уязвимостей, связанных с системами солнечной энергетики, с акцентом на интерфейсы управления удаленными инверторами, доступ к которым осуществляется через облачные приложения или прямыми методами. В частности, в ходе анализа было выявлено около 35 000 устройств, использующих солнечную энергию, преимущественно в Европе, где расположено 76% этих уязвимых устройств. Примечательно, что за последние два года количество подключенных к Интернету компактных устройств CONTEC SolarView увеличилось на 350%.

Несмотря на стремительный рост солнечной энергетики, уязвимость интерфейсов управления представляет собой существенную угрозу безопасности. Предыдущие выводы указывают на то, что эти интерфейсы могут быть подвержены различным уязвимостям, описанным в отчете SUN:DOWN, некоторые из которых, как сообщается, нацелены на ботнеты. Опрос десяти крупнейших производителей уязвимых устройств показал, что за последнее десятилетие уязвимости были обнаружены в продуктах всех этих компаний; интересно, что такие производители, как Huawei и Ginlong Solis, выделяются своим отсутствием в этом списке, несмотря на их преобладающую долю на рынке. Географическое распределение этих устройств сильно смещено в сторону Европы: на Германию и Грецию приходится по 20% от общего числа устройств, за ними следуют Япония и Португалия (по 9%).

Несколько уязвимостей, обнаруженных в компактных устройствах SolarView, вызывают особую обеспокоенность, поскольку в настоящее время они активно используются ботнетами. К ним относятся CVE-2022-29303, CVE-2022-40881, CVE-2023-23333 и CVE-2023-29919 — три из них классифицируются как уязвимости при внедрении команд, в то время как последняя относится к небезопасным разрешениям. Анализ, объединяющий данные из среды взаимодействия с злоумышленниками и Greynoise, выявил 43 IP-адреса, которые были нацелены на эти уязвимые устройства в течение предыдущего года, причем значительная часть из них была связана с операциями ботнета или поиском слабых мест. Среди них значительное число IP-адресов размещено в таких регионах, как Сингапур (21%), Германия (16%) и Нидерланды (14%), что свидетельствует о глобальной угрозе, влияющей на инфраструктуру солнечной энергетики.

#cyberthreattech

Кирилл у себя в канале написал новость про создание маппинга названий группировок Microsoft|CrowdStrike.
QB_channel (подписывайтесь, кстати)

Мы задачкой маппинга названий занимаемся уже пару лет в рамках продукта CTT ThreatKB.

Думаю, что вот эта репа может быть полезной.
https://github.com/rstcloud/awesome-threat-actor-resources/tree/main

#technique

LOLCLOUD - Azure Arc - C2aaS
Exploring Azure Arc’s overlooked C2aaS potential. Attacking and Defending against its usage and exploring usecases.

https://blog.zsec.uk/azure-arc-c2aas/

#technique

OnionC2
C2 writen in Rust & Go powered by Tor network.

https://github.com/zarkones/OnionC2

P.s. На реддитах пишут, что начали появляться зеркала репы с малварью в подарок.

#technique

scepter-rs
A Rust-based server-agent Command-and-Control designed to maximize compatability with non-standard devices. scepter-rs provides a minimal command and control interface that can be leveraged from your favorite C2 framework.

https://github.com/0xTriboulet/scepter-rs

#ParsedReport #CompletenessLow
04-06-2025

Phishing campaign in progress for Liberomail accounts

https://cert-agid.gov.it/news/campagna-di-phishing-in-corso-per-gli-account-di-liberomail/

Report completeness: Low

Victims:
Liberomail users

Geo:
Italian

ChatGPT TTPs:
do not use without manual check
T1102, T1114, T1566.001, T1566.002

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания нацелена на итальянских пользователей Liberomail, которые рассылают электронные письма с просьбой оплатить поддельный счет, что приводит к появлению мошеннической страницы входа для сбора учетных данных, которые отправляются в Telegram-канал.
-----

В настоящее время пользователи Liberomail подвергаются фишинговой кампании с помощью электронных писем, написанных на итальянском языке. В электронных письмах жертвам предлагается оплатить фиктивный счет, что является частью обмана. Получателям предлагается загрузить PDF-документ, который, как утверждается, защищен; при нажатии на ссылку они будут перенаправлены на мошенническую страницу входа в систему, имитирующую законную службу веб-почты, libero.it.

Цель этой кампании - получить учетные данные пользователей для почтовой службы, предложив жертвам ввести свои регистрационные данные на поддельной странице. Примечательно, что собранные учетные данные затем передаются в Telegram-канал, который работает с 21 сентября 2023 года и специально разработан для сбора данных об учетной записи электронной почты. Эта кампания отражает типичную тактику фишинга, использующую методы социальной инженерии для использования доверия пользователей и манипулирования ими с целью предоставления конфиденциальной информации. Ориентация на италоязычных пользователей указывает на конкретную географическую направленность, что потенциально создает значительный риск для людей, принадлежащих к этой демографической группе.

#ParsedReport #CompletenessMedium
04-06-2025

one, Attack Analysis

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247506191&idx=1&sn=89db49b84b7462bbf8731dbcc787e8c4&chksm=f9c1ea06ceb6631006eec73a1129db88dcbce705fd5bbfefe4eba48b5d4db5ed5017e34c9669&scene=178&cur_album_id=1955835290309230595&search_click_id

Report completeness: Medium

Actors/Campaigns:
Gamaredon

Threats:
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Industry:
Critical_infrastructure, Government, Military

ChatGPT TTPs:
do not use without manual check
T1027, T1036.002, T1056.001, T1059.001, T1059.005, T1071.001, T1074.001, T1105, T1112, T1204.002, have more...

IOCs:
Hash: 1
IP: 1
Domain: 3
Path: 2
File: 3

Soft:
Windows registry, trycloudflare, istory</p><p di, , telegram, l http, egram.me/s

Algorithms:
base64

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gamaredon, группа APT, нацеленная на правительственный и военный секторы, использует сильно запутанные скрипты VBS и социальную инженерию военной тематики для развертывания вредоносных программ. Их тактика заключается в создании вредоносных файлов LNK, замаскированных под законные документы, для сохранения и поддержания устойчивой инфраструктуры C2 с помощью встроенных адресов резервного копирования. Недавние операции включают проверку среды на наличие определенных файлов для адаптации и расширения функциональности вредоносного ПО.
-----

APT-C-53, также известная как Gamaredon, является постоянной группировкой APT, которая действует с 2013 года, в основном нацеливаясь на правительственный и военный секторы с целью получения разведывательных данных. Недавние действия указывают на то, что Gamaredon не ослабевает, несмотря на продолжающееся раскрытие своих методологий поставщиками систем безопасности; скорее, похоже, что он наращивает свои атаки. Группа в основном использует вредоносные скрипты VBS, отличающиеся высокой степенью обфускации, включая фрагментацию кода и кодировку Base64, для улучшения своей тактики уклонения. Примечательным аспектом их стратегии является использование военной тематики в попытках социальной инженерии, что помогает снизить бдительность потенциальных жертв и увеличивает вероятность успешного запуска вредоносного ПО.

Методология атаки, используемая Gamaredon, включает в себя поэтапный подход к развертыванию, при котором первоначальные сценарии подготавливают почву для последующих действий, позволяя постепенно высвобождать полезную нагрузку. Эта последовательность действий усугубляется использованием стандартных пользовательских файлов для сохранения, включая создание вредоносных файлов LNK (ярлыков), замаскированных под законные документы, чтобы заманить пользователей к запуску вредоносных программ. Создание этих ярлыков особенно ориентировано на цели, ориентированные на безопасность, поскольку они используют военную тематику для дальнейшего привлечения пользователей.

В своей инфраструктуре управления (C2) Gamaredon внедрила отказоустойчивость, включив резервные адреса C2 в значения разделов реестра Windows, что обеспечивает непрерывность работы, даже если основной C2 становится недоступным. Кроме того, хакер продемонстрировал изощренность в маскировке вредоносных файлов — изменяя записи реестра и скрывая расширения файлов, вредоносные файлы LNK могут маскироваться под обычные форматы документов, такие как PDF или DOCX, что еще больше усложняет усилия по обнаружению.

Кроме того, недавние операции включали проверку определенных файлов в среде жертвы (например, наличие файла \~.drv в каталоге %APPDATA%) и, в случае отсутствия, копирование определенного файла (NTUSER.DAT.TMContainer) из общедоступного каталога для обеспечения сохраняемости. Эта адаптация облегчает будущие изменения функциональности вредоносного ПО и обеспечивает его постоянное присутствие в среде хостинга.

Чтобы снизить риски, связанные с угрозами, исходящими от Gamaredon, эксперты рекомендуют усилить меры безопасности электронной почты, чтобы отфильтровать попытки фишинга и вредоносные вложения, внедрить строгий мониторинг журналов на предмет необычного поведения системы и повысить безопасность терминалов, обеспечив регулярные обновления и всестороннюю проверку на наличие вредоносных программ на всех устройствах. Эти стратегии направлены на то, чтобы снизить вероятность того, что вы станете жертвой новых хакерских атак, осуществляемых такими группами APT.

#ParsedReport #CompletenessLow
04-06-2025

Crocodilus Mobile Malware: Evolving Fast, Going Global

https://www.threatfabric.com/blogs/crocodilus-mobile-malware-evolving-fast-going-global

Report completeness: Low

Threats:
Crocodilus

Victims:
Banks, Cryptocurrency platforms, E-commerce platforms, Online casino, Cryptocurrency wallet apps, Digital banks, Users over 35

Industry:
E-commerce, Entertainment, Financial

Geo:
Turkey, India, Brazil, Turkish, Spanish, Spain, Indonesia, Argentina, America, Poland

ChatGPT TTPs:
do not use without manual check
T1027, T1407, T1412, T1476, T1620, T1636, T1659

IOCs:
Domain: 2
Hash: 2

Soft:
Android

Algorithms:
xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Crocodilus, продвинутый банковский троянец для Android, нацелен на пользователей в Европе, Южной Америке и Турции, используя обманчивую рекламу для обхода системы безопасности Android. Он захватывает конфиденциальную информацию, такую как ключи от криптовалютных кошельков, и совершенствует методы обфускации, чтобы избежать обнаружения, что отражает тенденцию к усложнению вредоносного ПО.
-----

В марте 2025 года в хакерской среде появился продвинутый банковский троян для Android, известный как Crocodilus, который сначала был обнаружен в ходе тестовых кампаний, а затем перешел к более активному распространению. Троянец быстро расширил сферу своей деятельности, включив в нее европейские страны и Южную Америку, а также продолжающиеся операции в Турции. Среди известных кампаний - таргетинг на польских пользователей с помощью вводящей в заблуждение рекламы, которая приводит к установке устройств, обходящих меры безопасности Android 13+. Эти рекламные объявления часто маскируются под рекламные акции от законных банковских приложений или приложений электронной коммерции, эффективно заставляя пользователей загружать вредоносное программное обеспечение обманом.

Crocodilus использует различные тактики для повышения своей эффективности. Он расширил свои возможности, включая возможность создавать новые контакты на устройстве жертвы, которые могут быть использованы для атак с использованием социальной инженерии. В частности, троянец может добавлять контакт, обманчиво помеченный как "Служба поддержки банка", что позволяет злоумышленникам связываться с жертвами, маскируясь под заслуживающих доверия лиц. Кроме того, вредоносное ПО в значительной степени фокусируется на получении конфиденциальной информации из приложений для криптовалютных кошельков, используя новый механизм для извлечения начальных фраз и закрытых ключей, что может способствовать мошенническим транзакциям и захвату учетных записей.

В компонентах вредоносного ПО также были усовершенствованы методы обфускации, которые включают усовершенствованную упаковку кода, исключающее шифрование и сложные конструкции кода, позволяющие избежать обнаружения и анализа. Эти меры усложняют процесс обратного проектирования, защищая троянца от обычных мер безопасности и систем обнаружения. Благодаря постоянному совершенствованию своих операционных стратегий и общей сложности программного обеспечения, Crocodilus демонстрирует растущую тенденцию к разработке вредоносных программ для решения новых задач безопасности, создавая значительные риски для пользователей в различных регионах.

Поскольку Crocodilus продолжает свои агрессивные кампании, это означает более широкий сдвиг в хакерских операциях, демонстрирующий возможности организованных хакеров адаптировать и расширять свои методы сбора ценных личных и финансовых данных. Последствия этих достижений подчеркивают необходимость повышения бдительности и упреждающей защиты частных лиц и организаций от все более изощренных банковских троянов.

#ParsedReport #CompletenessLow
04-06-2025

Criminals smuggle phishing code in SVG images

https://www.threatdown.com/blog/criminals-smuggle-phishing-code-in-svg-images/

Report completeness: Low

Victims:
Logistics company, Employee

Industry:
Logistic

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1078, T1204.002, T1566.001, T1566.002

IOCs:
File: 1
Url: 1
Domain: 1

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют файлы SVG в фишинговых атаках, чтобы обойти традиционные меры безопасности. Эти файлы, в которые может быть встроен вредоносный JavaScript, приводят к краже учетных данных, особенно для входа в систему Microsoft 365, и могут предоставлять злоумышленникам доступ к корпоративным сетям. Организациям настоятельно рекомендуется повысить безопасность электронной почты и проводить регулярное обучение сотрудников для устранения этих угроз.
-----

Киберпреступники начали использовать файлы SVG (масштабируемой векторной графики) в своих фишинговых кампаниях, что свидетельствует о смене векторов атак, направленных на обход традиционных мер безопасности. В недавнем случае сотрудник логистической компании получил электронное письмо, отправленное, как оказалось, из их организации, с предложением открыть вложенный SVG-файл. Этот метод отличается тем, что SVG-файлы редко используются в законных сообщениях, что делает их более эффективной приманкой при попытках фишинга.

Файлы SVG структурированы в формате XML, что позволяет встраивать в них HTML и JavaScript. Злоумышленники могут использовать эту особенность для включения вредоносного JavaScript, который активируется при открытии файла или в результате изменений в объектной модели документа (DOM), таких как любые структурные изменения на веб-странице. Вредоносный код может использовать объекты MutationObserver для отслеживания этих изменений DOM. В ситуации, когда жертва взаимодействует с файлом, встроенный JavaScript может способствовать перенаправлению на фишинговый сайт — тактика, которая уже была определена как рискованная такими платформами, как ThreatDown и Malwarebytes.

Целью этих кампаний является утечка конфиденциальной корпоративной информации, в частности, путем фишинга учетных данных. Как только вредоносная функция SVG заработает правильно, она сможет перехватить учетные данные для входа в Microsoft 365. Доступ к этим учетным данным не только подрывает защиту конфиденциальных электронных писем, документов и внутренних коммуникаций, но и потенциально позволяет злоумышленникам проникнуть во всю корпоративную сеть. Впоследствии это может привести к краже данных, эскалации атак и даже внедрению программ-вымогателей.

Для борьбы с этими растущими угрозами организациям рекомендуется внедрять надежные решения для защиты электронной почты, способные обнаруживать и изолировать подозрительные вложения, в том числе SVG-файлы. Необходимо регулярно проводить обучение сотрудников по вопросам безопасности, чтобы они могли распознавать попытки фишинга и реагировать на них. Сотрудникам следует проявлять осторожность при работе с неожиданными вложениями, независимо от типа файла, особенно если они получены из ненадежных источников. Кроме того, использование программного обеспечения endpoint security, обеспечивающего защиту от вредоносного кода и фишинговых доменов, остается важной линией защиты от этих сложных стратегий фишинга.