#technique

scepter-rs
A Rust-based server-agent Command-and-Control designed to maximize compatability with non-standard devices. scepter-rs provides a minimal command and control interface that can be leveraged from your favorite C2 framework.

https://github.com/0xTriboulet/scepter-rs

#ParsedReport #CompletenessLow
04-06-2025

Phishing campaign in progress for Liberomail accounts

https://cert-agid.gov.it/news/campagna-di-phishing-in-corso-per-gli-account-di-liberomail/

Report completeness: Low

Victims:
Liberomail users

Geo:
Italian

ChatGPT TTPs:
do not use without manual check
T1102, T1114, T1566.001, T1566.002

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания нацелена на итальянских пользователей Liberomail, которые рассылают электронные письма с просьбой оплатить поддельный счет, что приводит к появлению мошеннической страницы входа для сбора учетных данных, которые отправляются в Telegram-канал.
-----

В настоящее время пользователи Liberomail подвергаются фишинговой кампании с помощью электронных писем, написанных на итальянском языке. В электронных письмах жертвам предлагается оплатить фиктивный счет, что является частью обмана. Получателям предлагается загрузить PDF-документ, который, как утверждается, защищен; при нажатии на ссылку они будут перенаправлены на мошенническую страницу входа в систему, имитирующую законную службу веб-почты, libero.it.

Цель этой кампании - получить учетные данные пользователей для почтовой службы, предложив жертвам ввести свои регистрационные данные на поддельной странице. Примечательно, что собранные учетные данные затем передаются в Telegram-канал, который работает с 21 сентября 2023 года и специально разработан для сбора данных об учетной записи электронной почты. Эта кампания отражает типичную тактику фишинга, использующую методы социальной инженерии для использования доверия пользователей и манипулирования ими с целью предоставления конфиденциальной информации. Ориентация на италоязычных пользователей указывает на конкретную географическую направленность, что потенциально создает значительный риск для людей, принадлежащих к этой демографической группе.

#ParsedReport #CompletenessMedium
04-06-2025

one, Attack Analysis

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247506191&idx=1&sn=89db49b84b7462bbf8731dbcc787e8c4&chksm=f9c1ea06ceb6631006eec73a1129db88dcbce705fd5bbfefe4eba48b5d4db5ed5017e34c9669&scene=178&cur_album_id=1955835290309230595&search_click_id

Report completeness: Medium

Actors/Campaigns:
Gamaredon

Threats:
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Industry:
Critical_infrastructure, Government, Military

ChatGPT TTPs:
do not use without manual check
T1027, T1036.002, T1056.001, T1059.001, T1059.005, T1071.001, T1074.001, T1105, T1112, T1204.002, have more...

IOCs:
Hash: 1
IP: 1
Domain: 3
Path: 2
File: 3

Soft:
Windows registry, trycloudflare, istory</p><p di, , telegram, l http, egram.me/s

Algorithms:
base64

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gamaredon, группа APT, нацеленная на правительственный и военный секторы, использует сильно запутанные скрипты VBS и социальную инженерию военной тематики для развертывания вредоносных программ. Их тактика заключается в создании вредоносных файлов LNK, замаскированных под законные документы, для сохранения и поддержания устойчивой инфраструктуры C2 с помощью встроенных адресов резервного копирования. Недавние операции включают проверку среды на наличие определенных файлов для адаптации и расширения функциональности вредоносного ПО.
-----

APT-C-53, также известная как Gamaredon, является постоянной группировкой APT, которая действует с 2013 года, в основном нацеливаясь на правительственный и военный секторы с целью получения разведывательных данных. Недавние действия указывают на то, что Gamaredon не ослабевает, несмотря на продолжающееся раскрытие своих методологий поставщиками систем безопасности; скорее, похоже, что он наращивает свои атаки. Группа в основном использует вредоносные скрипты VBS, отличающиеся высокой степенью обфускации, включая фрагментацию кода и кодировку Base64, для улучшения своей тактики уклонения. Примечательным аспектом их стратегии является использование военной тематики в попытках социальной инженерии, что помогает снизить бдительность потенциальных жертв и увеличивает вероятность успешного запуска вредоносного ПО.

Методология атаки, используемая Gamaredon, включает в себя поэтапный подход к развертыванию, при котором первоначальные сценарии подготавливают почву для последующих действий, позволяя постепенно высвобождать полезную нагрузку. Эта последовательность действий усугубляется использованием стандартных пользовательских файлов для сохранения, включая создание вредоносных файлов LNK (ярлыков), замаскированных под законные документы, чтобы заманить пользователей к запуску вредоносных программ. Создание этих ярлыков особенно ориентировано на цели, ориентированные на безопасность, поскольку они используют военную тематику для дальнейшего привлечения пользователей.

В своей инфраструктуре управления (C2) Gamaredon внедрила отказоустойчивость, включив резервные адреса C2 в значения разделов реестра Windows, что обеспечивает непрерывность работы, даже если основной C2 становится недоступным. Кроме того, хакер продемонстрировал изощренность в маскировке вредоносных файлов — изменяя записи реестра и скрывая расширения файлов, вредоносные файлы LNK могут маскироваться под обычные форматы документов, такие как PDF или DOCX, что еще больше усложняет усилия по обнаружению.

Кроме того, недавние операции включали проверку определенных файлов в среде жертвы (например, наличие файла \~.drv в каталоге %APPDATA%) и, в случае отсутствия, копирование определенного файла (NTUSER.DAT.TMContainer) из общедоступного каталога для обеспечения сохраняемости. Эта адаптация облегчает будущие изменения функциональности вредоносного ПО и обеспечивает его постоянное присутствие в среде хостинга.

Чтобы снизить риски, связанные с угрозами, исходящими от Gamaredon, эксперты рекомендуют усилить меры безопасности электронной почты, чтобы отфильтровать попытки фишинга и вредоносные вложения, внедрить строгий мониторинг журналов на предмет необычного поведения системы и повысить безопасность терминалов, обеспечив регулярные обновления и всестороннюю проверку на наличие вредоносных программ на всех устройствах. Эти стратегии направлены на то, чтобы снизить вероятность того, что вы станете жертвой новых хакерских атак, осуществляемых такими группами APT.

#ParsedReport #CompletenessLow
04-06-2025

Crocodilus Mobile Malware: Evolving Fast, Going Global

https://www.threatfabric.com/blogs/crocodilus-mobile-malware-evolving-fast-going-global

Report completeness: Low

Threats:
Crocodilus

Victims:
Banks, Cryptocurrency platforms, E-commerce platforms, Online casino, Cryptocurrency wallet apps, Digital banks, Users over 35

Industry:
E-commerce, Entertainment, Financial

Geo:
Turkey, India, Brazil, Turkish, Spanish, Spain, Indonesia, Argentina, America, Poland

ChatGPT TTPs:
do not use without manual check
T1027, T1407, T1412, T1476, T1620, T1636, T1659

IOCs:
Domain: 2
Hash: 2

Soft:
Android

Algorithms:
xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Crocodilus, продвинутый банковский троянец для Android, нацелен на пользователей в Европе, Южной Америке и Турции, используя обманчивую рекламу для обхода системы безопасности Android. Он захватывает конфиденциальную информацию, такую как ключи от криптовалютных кошельков, и совершенствует методы обфускации, чтобы избежать обнаружения, что отражает тенденцию к усложнению вредоносного ПО.
-----

В марте 2025 года в хакерской среде появился продвинутый банковский троян для Android, известный как Crocodilus, который сначала был обнаружен в ходе тестовых кампаний, а затем перешел к более активному распространению. Троянец быстро расширил сферу своей деятельности, включив в нее европейские страны и Южную Америку, а также продолжающиеся операции в Турции. Среди известных кампаний - таргетинг на польских пользователей с помощью вводящей в заблуждение рекламы, которая приводит к установке устройств, обходящих меры безопасности Android 13+. Эти рекламные объявления часто маскируются под рекламные акции от законных банковских приложений или приложений электронной коммерции, эффективно заставляя пользователей загружать вредоносное программное обеспечение обманом.

Crocodilus использует различные тактики для повышения своей эффективности. Он расширил свои возможности, включая возможность создавать новые контакты на устройстве жертвы, которые могут быть использованы для атак с использованием социальной инженерии. В частности, троянец может добавлять контакт, обманчиво помеченный как "Служба поддержки банка", что позволяет злоумышленникам связываться с жертвами, маскируясь под заслуживающих доверия лиц. Кроме того, вредоносное ПО в значительной степени фокусируется на получении конфиденциальной информации из приложений для криптовалютных кошельков, используя новый механизм для извлечения начальных фраз и закрытых ключей, что может способствовать мошенническим транзакциям и захвату учетных записей.

В компонентах вредоносного ПО также были усовершенствованы методы обфускации, которые включают усовершенствованную упаковку кода, исключающее шифрование и сложные конструкции кода, позволяющие избежать обнаружения и анализа. Эти меры усложняют процесс обратного проектирования, защищая троянца от обычных мер безопасности и систем обнаружения. Благодаря постоянному совершенствованию своих операционных стратегий и общей сложности программного обеспечения, Crocodilus демонстрирует растущую тенденцию к разработке вредоносных программ для решения новых задач безопасности, создавая значительные риски для пользователей в различных регионах.

Поскольку Crocodilus продолжает свои агрессивные кампании, это означает более широкий сдвиг в хакерских операциях, демонстрирующий возможности организованных хакеров адаптировать и расширять свои методы сбора ценных личных и финансовых данных. Последствия этих достижений подчеркивают необходимость повышения бдительности и упреждающей защиты частных лиц и организаций от все более изощренных банковских троянов.

#ParsedReport #CompletenessLow
04-06-2025

Criminals smuggle phishing code in SVG images

https://www.threatdown.com/blog/criminals-smuggle-phishing-code-in-svg-images/

Report completeness: Low

Victims:
Logistics company, Employee

Industry:
Logistic

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1078, T1204.002, T1566.001, T1566.002

IOCs:
File: 1
Url: 1
Domain: 1

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют файлы SVG в фишинговых атаках, чтобы обойти традиционные меры безопасности. Эти файлы, в которые может быть встроен вредоносный JavaScript, приводят к краже учетных данных, особенно для входа в систему Microsoft 365, и могут предоставлять злоумышленникам доступ к корпоративным сетям. Организациям настоятельно рекомендуется повысить безопасность электронной почты и проводить регулярное обучение сотрудников для устранения этих угроз.
-----

Киберпреступники начали использовать файлы SVG (масштабируемой векторной графики) в своих фишинговых кампаниях, что свидетельствует о смене векторов атак, направленных на обход традиционных мер безопасности. В недавнем случае сотрудник логистической компании получил электронное письмо, отправленное, как оказалось, из их организации, с предложением открыть вложенный SVG-файл. Этот метод отличается тем, что SVG-файлы редко используются в законных сообщениях, что делает их более эффективной приманкой при попытках фишинга.

Файлы SVG структурированы в формате XML, что позволяет встраивать в них HTML и JavaScript. Злоумышленники могут использовать эту особенность для включения вредоносного JavaScript, который активируется при открытии файла или в результате изменений в объектной модели документа (DOM), таких как любые структурные изменения на веб-странице. Вредоносный код может использовать объекты MutationObserver для отслеживания этих изменений DOM. В ситуации, когда жертва взаимодействует с файлом, встроенный JavaScript может способствовать перенаправлению на фишинговый сайт — тактика, которая уже была определена как рискованная такими платформами, как ThreatDown и Malwarebytes.

Целью этих кампаний является утечка конфиденциальной корпоративной информации, в частности, путем фишинга учетных данных. Как только вредоносная функция SVG заработает правильно, она сможет перехватить учетные данные для входа в Microsoft 365. Доступ к этим учетным данным не только подрывает защиту конфиденциальных электронных писем, документов и внутренних коммуникаций, но и потенциально позволяет злоумышленникам проникнуть во всю корпоративную сеть. Впоследствии это может привести к краже данных, эскалации атак и даже внедрению программ-вымогателей.

Для борьбы с этими растущими угрозами организациям рекомендуется внедрять надежные решения для защиты электронной почты, способные обнаруживать и изолировать подозрительные вложения, в том числе SVG-файлы. Необходимо регулярно проводить обучение сотрудников по вопросам безопасности, чтобы они могли распознавать попытки фишинга и реагировать на них. Сотрудникам следует проявлять осторожность при работе с неожиданными вложениями, независимо от типа файла, особенно если они получены из ненадежных источников. Кроме того, использование программного обеспечения endpoint security, обеспечивающего защиту от вредоносного кода и фишинговых доменов, остается важной линией защиты от этих сложных стратегий фишинга.

#ParsedReport #CompletenessLow
04-06-2025

Doppelganger: An Advanced LSASS Dumper with Process Cloning

https://labs.yarix.com/2025/06/doppelganger-an-advanced-lsass-dumper-with-process-cloning/

Report completeness: Low

Threats:
Lsass_dumper_tool
Doppelgnger_tool
Process_hollowing_technique
Hollowreaper
Api_obfuscation_technique
Mimikatz_tool
Procdump_tool
Process_injection_technique
As-rep_roasting_technique
Kerberoasting_technique
Dumplsass_tool
Passthehash_technique
Pypykatz_tool
Uac_bypass_technique
Antidebugging_technique
Minidump_tool
Donut
Apc_injection_technique

ChatGPT TTPs:
do not use without manual check
T1003, T1003.001, T1003.004, T1027, T1036, T1055, T1055.012, T1059.003, T1070.004, T1134.001, have more...

IOCs:
File: 22
Path: 2

Soft:
Local Security Authority, Microsoft Defender, Windows security, Virtual Secure Mode, winlogon

Algorithms:
xor

Functions:
writeSuccess, pGCP, CustomGetProcAddress

Win API:
MiniDumpWriteDump, SeDebugPrivilege, NtCreateProcessEx, OpenProcess, ReadProcessMemory, PsInitialSystemProcess, Process32FirstW, GetProcAddress, LoadLibraryA, DuplicateTokenEx, have more...

Win Services:
bits

Languages:
python

Platforms:
intel

Links:
https://github.com/vari-sh/RedTeamGrimoire/tree/main/Doppelganger
https://github.com/TheWover/donut

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Doppelganger - это инструмент для извлечения учетных данных, который обходит расширенные средства защиты Windows, такие как PPL и VBS, путем клонирования LSASS с помощью недокументированного системного вызова NtCreateProcessEx. В нем используется уязвимый драйвер для манипулирования памятью ядра, шифрование и динамическое разрешение для скрытности, а также повышение привилегий за счет олицетворения токена на системном уровне. Несмотря на свою сложность, он может давать неполные результаты из-за развития защитных технологий.
-----

Doppelganger - это инструмент для извлечения учетных данных из подсистемы управления локальной безопасностью (LSASS) в современных средах Windows. Он обходит традиционные средства защиты от сброса учетных данных, такие как Protected Process Light (PPL) и безопасность на основе виртуализации (VBS). Инструмент использует клонирование процессов вместо прямых манипуляций с памятью, чтобы избежать обнаружения. Он вызывает недокументированный системный вызов NtCreateProcessEx для клонирования LSASS без запуска предупреждений системы безопасности. Защита от несанкционированного доступа временно отключена с помощью уязвимого подписанного драйвера RTCore64.sys для манипулирования памятью ядра. Doppelganger создает копию LSASS для сброса памяти и использует динамическое разрешение и обфускацию XOR для скрытности. Учетные данные извлекаются путем шифрования дампа памяти и использования пользовательского обратного вызова в MiniDumpWriteDump для получения дампа без поднятия флагов. Инструмент может повышать привилегии, выдавая себя за токен системного уровня из таких процессов, как winlogon.exe. Несмотря на свои возможности, он может давать неполные результаты и все еще может быть обнаружен решениями по поведенческой безопасности.

#ParsedReport #CompletenessLow
04-06-2025

ClickFix Campaign Spoofs Booking.com for Malware Delivery

https://cofense.com/blog/clickfix-campaign-spoofs-booking-com-for-malware-delivery

Report completeness: Low

Threats:
Clickfix_technique
Fakecaptcha_technique
Xworm_rat
Purelogs
Danabot
Screenconnect_tool

Victims:
Hotel chains

Industry:
Foodtech

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1055, T1056, T1059.001, T1059.003, T1105, T1140, T1204, T1204.001, have more...

IOCs:
File: 1
Command: 1
Url: 1

Soft:
Cloudflare Turnstile

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cofense Intelligence сообщает о росте числа фишинговых кампаний на туристическую тематику Booking.com , уделяя особое внимание сектору размещения. В этих кампаниях используются методы ClickFix для распространения вредоносных программ, таких как XWorm RAT, Pure Logs Stealer и DanaBot, с помощью вредоносных скриптов, запускаемых при взаимодействии с пользователем, специально предназначенных для пользователей Windows. Методы включают тактику социальной инженерии и различные вводящие в заблуждение темы, позволяющие избежать обнаружения и использовать поведение пользователей.
-----

Cofense Intelligence отмечает всплеск фишинговых кампаний на тему помощи туристам, которые специально подделывают Booking.com и нацелены на различные гостиничные сети в секторе услуг размещения и питания. В этих вредоносных кампаниях в основном используются атаки ClickFix, в ходе которых жертвы получают электронные письма, содержащие ссылки на поддельные сайты с капчей. Вместо законных кодов подтверждения эти сайты предоставляют вредоносный скрипт, предназначенный для использования взаимодействия с пользователем. Пользователям предлагается запустить этот скрипт с помощью сочетаний клавиш Windows. Растущая популярность этого метода стала очевидна с ноября 2024 года, а к марту 2025 года был зафиксирован значительный рост активности кампаний, когда в 75% активных сообщений об угрозах использовались шаблоны для подмены <url>.

Кампании в основном распространяют два вида вредоносных программ: трояны для удаленного доступа (RATs) и похитители информации. XWorm RAT выделяется как наиболее распространенное вредоносное ПО, фигурирующее в 53% сообщений об активных угрозах. Другие распространенные вредоносные программы в этих кампаниях включают Pure Logs Stealer, обнаруженный в 19% сообщений, и DanaBot, обнаруженный в 14%. Структура атаки, хотя и варьируется, обычно соответствует схеме, при которой фишинговые электронные письма приводят к сайтам с исправлениями кликов, на которых размещаются вредоносные скрипты, способные выполнять функции RAT и кражи информации.

Примечательно, что сайты ClickFix запрограммированы на оценку операционной системы жертвы путем проверки пользовательского агента браузера. Они отображают сообщения, указывающие на совместимость только с Windows, вероятно, из-за того, что вредоносное ПО было специально разработано для сред Windows. Вредоносные скрипты обычно используют PowerShell или Microsoft HTML-приложения (.hta), которые выполняются с помощью команд, которые запускаются следующим образом mshta.exe за которыми следует указанный URL-адрес.

Технология ClickFix основана на принципах социальной инженерии и позволяет жертвам обманом запускать скрипты самостоятельно, без необходимости загрузки файлов. Событие JavaScript на сайте ClickFix переносит вредоносный скрипт в буфер обмена пользователя при вводе поддельной капчи. Этот подход предполагает последовательность инструкций, которым пользователь невольно следует для выполнения сценария. Например, пользователям может быть предложено нажать клавишу Windows + R, которая открывает команду запуска, а вставка сценария с помощью Ctrl + V и нажатие Enter активирует полезную нагрузку.

Кампании также отличаются друг от друга, в них используются различные темы для привлечения жертв к кликам, такие как баннеры с согласием на использование cookie-файлов, а также основной подход, основанный на использовании CAPTCHA. Такая адаптивность подчеркивает эволюцию тактики, используемой хакерами в попытке запутать свои методы и эффективно использовать поведение пользователей. В целом, развитие этих фишинговых кампаний в сочетании с используемыми техническими методологиями свидетельствует о сохраняющейся угрозе, нацеленной на уязвимые сектора с помощью все более изощренных средств.

#ParsedReport #CompletenessLow
04-06-2025

BPFDoor - Part 1 - The past

https://haxrob.net/bpfdoor-past-and-present-part-1/

Report completeness: Low

Actors/Campaigns:
Winnti

Threats:
Bpfdoor
Sniffdoor
Timestomp_technique
Adoreng_rootkit
Notbpfdoor

Victims:
Telecommunication company

Industry:
Telco

Geo:
Hong kong

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1070.006, T1095, T1140, T1546.004

IOCs:
Hash: 3

Soft:
Linux

Win API:
setsockopt

Links:
https://github.com/haxrob/soshell/?ref=haxrob.net
have more...
https://github.com/haxrob/sniffdoor-1.0?ref=haxrob.net
https://github.com/haxrob/BPFDoor/blob/main/bpfdoor.c?ref=haxrob.net#L224