#ParsedReport #CompletenessLow
04-06-2025

Criminals smuggle phishing code in SVG images

https://www.threatdown.com/blog/criminals-smuggle-phishing-code-in-svg-images/

Report completeness: Low

Victims:
Logistics company, Employee

Industry:
Logistic

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1078, T1204.002, T1566.001, T1566.002

IOCs:
File: 1
Url: 1
Domain: 1

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют файлы SVG в фишинговых атаках, чтобы обойти традиционные меры безопасности. Эти файлы, в которые может быть встроен вредоносный JavaScript, приводят к краже учетных данных, особенно для входа в систему Microsoft 365, и могут предоставлять злоумышленникам доступ к корпоративным сетям. Организациям настоятельно рекомендуется повысить безопасность электронной почты и проводить регулярное обучение сотрудников для устранения этих угроз.
-----

Киберпреступники начали использовать файлы SVG (масштабируемой векторной графики) в своих фишинговых кампаниях, что свидетельствует о смене векторов атак, направленных на обход традиционных мер безопасности. В недавнем случае сотрудник логистической компании получил электронное письмо, отправленное, как оказалось, из их организации, с предложением открыть вложенный SVG-файл. Этот метод отличается тем, что SVG-файлы редко используются в законных сообщениях, что делает их более эффективной приманкой при попытках фишинга.

Файлы SVG структурированы в формате XML, что позволяет встраивать в них HTML и JavaScript. Злоумышленники могут использовать эту особенность для включения вредоносного JavaScript, который активируется при открытии файла или в результате изменений в объектной модели документа (DOM), таких как любые структурные изменения на веб-странице. Вредоносный код может использовать объекты MutationObserver для отслеживания этих изменений DOM. В ситуации, когда жертва взаимодействует с файлом, встроенный JavaScript может способствовать перенаправлению на фишинговый сайт — тактика, которая уже была определена как рискованная такими платформами, как ThreatDown и Malwarebytes.

Целью этих кампаний является утечка конфиденциальной корпоративной информации, в частности, путем фишинга учетных данных. Как только вредоносная функция SVG заработает правильно, она сможет перехватить учетные данные для входа в Microsoft 365. Доступ к этим учетным данным не только подрывает защиту конфиденциальных электронных писем, документов и внутренних коммуникаций, но и потенциально позволяет злоумышленникам проникнуть во всю корпоративную сеть. Впоследствии это может привести к краже данных, эскалации атак и даже внедрению программ-вымогателей.

Для борьбы с этими растущими угрозами организациям рекомендуется внедрять надежные решения для защиты электронной почты, способные обнаруживать и изолировать подозрительные вложения, в том числе SVG-файлы. Необходимо регулярно проводить обучение сотрудников по вопросам безопасности, чтобы они могли распознавать попытки фишинга и реагировать на них. Сотрудникам следует проявлять осторожность при работе с неожиданными вложениями, независимо от типа файла, особенно если они получены из ненадежных источников. Кроме того, использование программного обеспечения endpoint security, обеспечивающего защиту от вредоносного кода и фишинговых доменов, остается важной линией защиты от этих сложных стратегий фишинга.

#ParsedReport #CompletenessLow
04-06-2025

Doppelganger: An Advanced LSASS Dumper with Process Cloning

https://labs.yarix.com/2025/06/doppelganger-an-advanced-lsass-dumper-with-process-cloning/

Report completeness: Low

Threats:
Lsass_dumper_tool
Doppelgnger_tool
Process_hollowing_technique
Hollowreaper
Api_obfuscation_technique
Mimikatz_tool
Procdump_tool
Process_injection_technique
As-rep_roasting_technique
Kerberoasting_technique
Dumplsass_tool
Passthehash_technique
Pypykatz_tool
Uac_bypass_technique
Antidebugging_technique
Minidump_tool
Donut
Apc_injection_technique

ChatGPT TTPs:
do not use without manual check
T1003, T1003.001, T1003.004, T1027, T1036, T1055, T1055.012, T1059.003, T1070.004, T1134.001, have more...

IOCs:
File: 22
Path: 2

Soft:
Local Security Authority, Microsoft Defender, Windows security, Virtual Secure Mode, winlogon

Algorithms:
xor

Functions:
writeSuccess, pGCP, CustomGetProcAddress

Win API:
MiniDumpWriteDump, SeDebugPrivilege, NtCreateProcessEx, OpenProcess, ReadProcessMemory, PsInitialSystemProcess, Process32FirstW, GetProcAddress, LoadLibraryA, DuplicateTokenEx, have more...

Win Services:
bits

Languages:
python

Platforms:
intel

Links:
https://github.com/vari-sh/RedTeamGrimoire/tree/main/Doppelganger
https://github.com/TheWover/donut

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Doppelganger - это инструмент для извлечения учетных данных, который обходит расширенные средства защиты Windows, такие как PPL и VBS, путем клонирования LSASS с помощью недокументированного системного вызова NtCreateProcessEx. В нем используется уязвимый драйвер для манипулирования памятью ядра, шифрование и динамическое разрешение для скрытности, а также повышение привилегий за счет олицетворения токена на системном уровне. Несмотря на свою сложность, он может давать неполные результаты из-за развития защитных технологий.
-----

Doppelganger - это инструмент для извлечения учетных данных из подсистемы управления локальной безопасностью (LSASS) в современных средах Windows. Он обходит традиционные средства защиты от сброса учетных данных, такие как Protected Process Light (PPL) и безопасность на основе виртуализации (VBS). Инструмент использует клонирование процессов вместо прямых манипуляций с памятью, чтобы избежать обнаружения. Он вызывает недокументированный системный вызов NtCreateProcessEx для клонирования LSASS без запуска предупреждений системы безопасности. Защита от несанкционированного доступа временно отключена с помощью уязвимого подписанного драйвера RTCore64.sys для манипулирования памятью ядра. Doppelganger создает копию LSASS для сброса памяти и использует динамическое разрешение и обфускацию XOR для скрытности. Учетные данные извлекаются путем шифрования дампа памяти и использования пользовательского обратного вызова в MiniDumpWriteDump для получения дампа без поднятия флагов. Инструмент может повышать привилегии, выдавая себя за токен системного уровня из таких процессов, как winlogon.exe. Несмотря на свои возможности, он может давать неполные результаты и все еще может быть обнаружен решениями по поведенческой безопасности.

#ParsedReport #CompletenessLow
04-06-2025

ClickFix Campaign Spoofs Booking.com for Malware Delivery

https://cofense.com/blog/clickfix-campaign-spoofs-booking-com-for-malware-delivery

Report completeness: Low

Threats:
Clickfix_technique
Fakecaptcha_technique
Xworm_rat
Purelogs
Danabot
Screenconnect_tool

Victims:
Hotel chains

Industry:
Foodtech

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1055, T1056, T1059.001, T1059.003, T1105, T1140, T1204, T1204.001, have more...

IOCs:
File: 1
Command: 1
Url: 1

Soft:
Cloudflare Turnstile

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cofense Intelligence сообщает о росте числа фишинговых кампаний на туристическую тематику Booking.com , уделяя особое внимание сектору размещения. В этих кампаниях используются методы ClickFix для распространения вредоносных программ, таких как XWorm RAT, Pure Logs Stealer и DanaBot, с помощью вредоносных скриптов, запускаемых при взаимодействии с пользователем, специально предназначенных для пользователей Windows. Методы включают тактику социальной инженерии и различные вводящие в заблуждение темы, позволяющие избежать обнаружения и использовать поведение пользователей.
-----

Cofense Intelligence отмечает всплеск фишинговых кампаний на тему помощи туристам, которые специально подделывают Booking.com и нацелены на различные гостиничные сети в секторе услуг размещения и питания. В этих вредоносных кампаниях в основном используются атаки ClickFix, в ходе которых жертвы получают электронные письма, содержащие ссылки на поддельные сайты с капчей. Вместо законных кодов подтверждения эти сайты предоставляют вредоносный скрипт, предназначенный для использования взаимодействия с пользователем. Пользователям предлагается запустить этот скрипт с помощью сочетаний клавиш Windows. Растущая популярность этого метода стала очевидна с ноября 2024 года, а к марту 2025 года был зафиксирован значительный рост активности кампаний, когда в 75% активных сообщений об угрозах использовались шаблоны для подмены <url>.

Кампании в основном распространяют два вида вредоносных программ: трояны для удаленного доступа (RATs) и похитители информации. XWorm RAT выделяется как наиболее распространенное вредоносное ПО, фигурирующее в 53% сообщений об активных угрозах. Другие распространенные вредоносные программы в этих кампаниях включают Pure Logs Stealer, обнаруженный в 19% сообщений, и DanaBot, обнаруженный в 14%. Структура атаки, хотя и варьируется, обычно соответствует схеме, при которой фишинговые электронные письма приводят к сайтам с исправлениями кликов, на которых размещаются вредоносные скрипты, способные выполнять функции RAT и кражи информации.

Примечательно, что сайты ClickFix запрограммированы на оценку операционной системы жертвы путем проверки пользовательского агента браузера. Они отображают сообщения, указывающие на совместимость только с Windows, вероятно, из-за того, что вредоносное ПО было специально разработано для сред Windows. Вредоносные скрипты обычно используют PowerShell или Microsoft HTML-приложения (.hta), которые выполняются с помощью команд, которые запускаются следующим образом mshta.exe за которыми следует указанный URL-адрес.

Технология ClickFix основана на принципах социальной инженерии и позволяет жертвам обманом запускать скрипты самостоятельно, без необходимости загрузки файлов. Событие JavaScript на сайте ClickFix переносит вредоносный скрипт в буфер обмена пользователя при вводе поддельной капчи. Этот подход предполагает последовательность инструкций, которым пользователь невольно следует для выполнения сценария. Например, пользователям может быть предложено нажать клавишу Windows + R, которая открывает команду запуска, а вставка сценария с помощью Ctrl + V и нажатие Enter активирует полезную нагрузку.

Кампании также отличаются друг от друга, в них используются различные темы для привлечения жертв к кликам, такие как баннеры с согласием на использование cookie-файлов, а также основной подход, основанный на использовании CAPTCHA. Такая адаптивность подчеркивает эволюцию тактики, используемой хакерами в попытке запутать свои методы и эффективно использовать поведение пользователей. В целом, развитие этих фишинговых кампаний в сочетании с используемыми техническими методологиями свидетельствует о сохраняющейся угрозе, нацеленной на уязвимые сектора с помощью все более изощренных средств.

#ParsedReport #CompletenessLow
04-06-2025

BPFDoor - Part 1 - The past

https://haxrob.net/bpfdoor-past-and-present-part-1/

Report completeness: Low

Actors/Campaigns:
Winnti

Threats:
Bpfdoor
Sniffdoor
Timestomp_technique
Adoreng_rootkit
Notbpfdoor

Victims:
Telecommunication company

Industry:
Telco

Geo:
Hong kong

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1070.006, T1095, T1140, T1546.004

IOCs:
Hash: 3

Soft:
Linux

Win API:
setsockopt

Links:
https://github.com/haxrob/soshell/?ref=haxrob.net
have more...
https://github.com/haxrob/sniffdoor-1.0?ref=haxrob.net
https://github.com/haxrob/BPFDoor/blob/main/bpfdoor.c?ref=haxrob.net#L224

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 6, dump: 5, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BPFDoor - это сложная вредоносная программа для Linux, связанная со старым sniffdoor, использующая передовые технологии скрытности, зашифрованную полезную нагрузку и использование фильтров BPF для сокрытия процессов. Вредоносная программа эволюционировала от более ранних вариантов, таких как NotBPFDoor, включив рандомизацию в названия процессов и скрипты для сохранения, что указывает на продолжающуюся эволюцию в рамках этой линейки вредоносных программ.
-----

BPFDoor - это сложная вредоносная программа для Linux, корни которой связаны с более старой вредоносной программой sniffdoor, чей исходный код было сложно найти. Несколько ранних образцов BPFDoor содержат жестко заданный пароль "justforfun", который, как предполагается, связан с ранним развитием и влиянием sniffdoor, разработанного примерно в 2006-2007 годах. BPFDoor объединяет расширенные функции по сравнению со sniffdoor, такие как улучшенная скрытность, использование фильтра BPF для минимизации трафика в процессе поиска определенных пакетов и поддержка волшебных пакетов по протоколам TCP, UDP и ICMP. Его полезная нагрузка зашифрована, что способствует использованию механизмов обхода, которые включают в себя маскировку имени процесса и замедление времени.

И BPFDoor, и sniffdoor используют общий код из программы под названием bindtty, при этом BPFDoor также использует правила iptables для эффективного сокрытия своих процессов. Исследование предполагает, что разработчиком BPFDoor мог быть либо WZT, создатель sniffdoor, либо под влиянием более раннего кода из той же линейки, хотя остается неопределенность относительно точного авторства. Использование фразы "просто для развлечения" может либо отражать связь между разработчиками, либо быть простым совпадением, отражающим общую культуру среди энтузиастов Linux.

В ходе анализа был обнаружен более ранний вариант под названием NotBPFDoor, который демонстрирует значительное совпадение кода с BPFDoor, хотя в нем отсутствуют некоторые сложные функции, такие как фильтр BPF, который использует BPFDoor. Эта версия была обнаружена в 2016 году, она появилась раньше общедоступного исходного кода и указывает на эволюцию возможностей вредоносного ПО с течением времени.

Дальнейшее техническое исследование показало, что в ранних версиях BPFDoor обычно используется одно жестко заданное имя процесса, затем оно заменяется на случайно выбранные имена и возвращается к отдельным именам в более новых версиях. Механизмы сохранения работоспособности вредоносного ПО указывали на использование скриптов, выполняемых при входе пользователя в систему, для поддержания работоспособности после перезагрузки.

Коммуникация вредоносного ПО основана на жестко закодированных магических байтах, с течением времени наблюдаются изменения, которые относятся к различным образцам BPFDoor. NotBPFDoor выделяется как ранняя ветвь BPFDoor, что указывает на почти линейный эволюционный путь в разработке и развертывании стратегии вредоносного ПО, который будет дополнительно изучен в последующих анализах. Это всестороннее исследование эволюции BPFDoor подчеркивает сложное взаимодействие исторических разработок вредоносных программ и потенциального перекрестного распространения кода в среде хакеров.

#ParsedReport #CompletenessLow
04-06-2025

BPFDoor Part 2 - The Present

https://haxrob.net/bpfdoor-past-and-present-part-2/

Report completeness: Low

Threats:
Bpfdoor

Victims:
Telecommunications provider

Industry:
Telco

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1070.004, T1095, T1573.002

IOCs:
Hash: 15
Coin: 1
File: 1

Soft:
Linux, systemd, openssl

Algorithms:
rc4, sha1, md5

Win API:
setsockopt

YARA: Found

Links:
https://github.com/haxrob/BPFDoor/blob/main/bpfdoor.c?ref=haxrob.net#L532
have more...
https://github.com/haxrob/BPFDoor/blob/main/bpfdoor.c?ref=haxrob.net#L524C16-L524C50
https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal\_lnx\_implant\_may22.yar?ref=haxrob.net

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Последние версии вредоносного ПО BPFDoor были усовершенствованы, чтобы избежать обнаружения за счет удаления операций без использования файлов, ограничения использования сокетов до SOCK_UDP и внедрения SSL-сертификатов для шифрования. Вредоносное ПО теперь сохраняет свое присутствие на диске с фиксированными именами процессов, что усложняет методы обнаружения. Аналитики должны адаптироваться, отслеживая неожиданные процессы и проверяя различные типы разъемов для выявления потенциальных аномалий.
-----

Последние версии вредоносного ПО BPFDoor были разработаны таким образом, чтобы обойти существующие механизмы обнаружения, особенно те, которые определены в правилах BPFDoor Yara от 2022 года. Примечательно, что в результате взлома одного из крупных телекоммуникационных провайдеров в апреле 2025 года были обнаружены эти новые, статически скомпилированные и удаленные образцы, которые демонстрируют значительные изменения в поведении по сравнению с более ранними версиями. Обновленный BPFDoor больше не использует сокеты SOCK_RAW; вместо этого в его открытых файловых дескрипторах присутствуют только сокеты SOCK_UDP, в то время как он продолжает принимать пакеты пробуждения, отправленные по протоколам ICMP, UDP и TCP.

Одним из наиболее существенных изменений является удаление функции работы без файлов, которая ранее позволяла вредоносному ПО копировать себя в файл /dev/shm, запускаться оттуда и впоследствии удалять свои следы с диска. Текущий вариант не взаимодействует с /dev/shm и сохраняет свое присутствие на диске, функционируя больше как обычный процесс. Тактика маскировки также претерпела изменения; в то время как в более ранних версиях имена масок выбирались случайным образом из заранее определенного списка распространенных имен процессов, в новой реализации используется фиксированное имя процесса и настраиваются пути к файлам блокировки мьютексов, чтобы они более эффективно вписывались в целевую среду. Это изменение усложняет обнаружение, поскольку традиционные методы обнаружения, которые выполняют поиск по определенным именам процессов или типам сокетов, могут не определить наличие BPFDoor.

Еще одним важным аспектом является обновление механизма транспортного шифрования SSL, который теперь включает встроенный сертификат, обеспечивающий высокий уровень конфиденциальности при передаче данных. Кроме того, длина BPF (Berkeley Packet Filter) была увеличена до 229 байт, что может повысить его способность оставаться незамеченным при выполнении операций на сетевом уровне.

Отказ от ранее эффективных методов уклонения привел к изменению методологий обнаружения; аналитикам теперь рекомендуется отслеживать непредвиденные процессы, которые поддерживают открытые исходные сокеты, поскольку ранее применявшиеся методы больше неприменимы. Отсутствие SOCK_RAW в поведении BPFDoor переключает внимание аналитиков, которым теперь, возможно, потребуется проверить другие типы сокетов, чтобы найти аномалии, которые могли бы указывать на присутствие BPFDoor.

Таким образом, вредоносная программа BPFDoor адаптировала свою тактику работы, изменив использование сокетов, поведение своих процессов, отказавшись от использования временных файлов для выполнения и изменив методы шифрования. Эти изменения создают новые проблемы при обнаружении и указывают на продолжающуюся эволюцию стратегий вредоносного ПО, направленных на противодействие мерам безопасности.

#ParsedReport #CompletenessLow
04-06-2025

New MintsLoader campaign confirms a targeted timing strategy

https://cert-agid.gov.it/news/nuova-campagna-mintsloader-conferma-una-mirata-strategia-temporale/

Report completeness: Low

Threats:
Mintsloader

Geo:
Italian

ChatGPT TTPs:
do not use without manual check
T1027, T1082, T1105, T1113, T1114, T1566.002, T1568.002

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MintsLoader, загрузчик на базе PowerShell, развивает тактику, используя итальянский рабочий календарь для атак на систему PEC. Он использует запутанные ссылки на JavaScript, DGA для динамических доменов и сложные сценарии PowerShell, что усложняет поиск полезной нагрузки для аналитиков.
-----

Недавняя кампания с участием MintsLoader, которая стала девятой с начала 2025 года, демонстрирует эволюционирующую тактику киберпреступников, которые эффективно согласовывают свои атаки с рабочим графиком в Италии. Эта адаптация позволяет злоумышленникам использовать в своих интересах время, когда пользователи с наибольшей вероятностью получают доступ к коммуникациям, связанным с работой, в частности к системе Posta Elettronica Certificata (PEC), после перерывов, таких как выходные и праздничные дни.

MintsLoader работает как загрузчик на базе PowerShell, который в основном используется для распространения различных типов вредоносных программ, преимущественно разновидностей Infostealer. Методология атаки обычно включает отправку электронных писем, содержащих ссылки на зашифрованные файлы JavaScript. Этот подход использует алгоритм генерации домена (DGA) для динамического создания вредоносных адресов, при этом время активации домена стратегически запланировано на обычные рабочие часы. Несмотря на то, что электронные письма отправляются рано утром, злоумышленники стремятся к тому, чтобы пользователи общались с ними во время работы.

Как часть цепочки заражения, доставка полезных данных тщательно контролируется с помощью сценариев PowerShell, что повышает общую эффективность атаки. Однако кампания подкрепляется строгими проверками на стороне сервера, которые усложняют работу аналитиков вредоносных программ, пытающихся извлечь конечные вредоносные данные. Такая сложность указывает на постоянное совершенствование кампаний MintsLoader, что создает проблемы не только для целевых пользователей, но и для специалистов по кибербезопасности, пытающихся смягчить эти угрозы.

#ParsedReport #CompletenessLow
04-06-2025

Operation RUN: The Cyber Carnival of "Offshore Patriots"

https://ti.qianxin.com/blog/articles/operation-run-the-cyber-carnival-of-offshore-patriots-en/

Report completeness: Low

Actors/Campaigns:
Utg-q-015
Giant (motivation: cyber_espionage)
Eviloong (motivation: cyber_espionage)

Threats:
Raindrop_tool
Cobalt_strike_tool
Fscan_tool
Hawk
Xnote
Vshell

Victims:
Csdn, Top sites, Government, Enterprise, Blockchain websites, Digital signature backend, Bitcoin backend, Gitlab backend, Financial institutions, Domestic programming forums, have more...

Industry:
Government, Financial

Geo:
Asian, Asia

CVEs:
CVE-2023-48022 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- anyscale ray (2.6.3, 2.8.0)

CVE-2017-12611 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: False
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache struts (2.0.1, 2.0.2, 2.0.3, 2.0.4, 2.0.5)

CVE-2021-38647 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft azure automation state configuration (-)
- microsoft azure automation update management (-)
- microsoft azure diagnostics (lad) (-)
- microsoft azure open management infrastructure (-)
- microsoft azure security center (-)
have more...
CVE-2017-9805 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache struts (<2.3.34, <2.5.13)


ChatGPT TTPs:
do not use without manual check
T1059, T1071.001, T1078, T1105, T1110.001, T1190, T1219, T1566.002

IOCs:
Url: 2
File: 1
Hash: 5

Soft:
Linux

Crypto:
bitcoin