#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BPFDoor - это сложная вредоносная программа для Linux, связанная со старым sniffdoor, использующая передовые технологии скрытности, зашифрованную полезную нагрузку и использование фильтров BPF для сокрытия процессов. Вредоносная программа эволюционировала от более ранних вариантов, таких как NotBPFDoor, включив рандомизацию в названия процессов и скрипты для сохранения, что указывает на продолжающуюся эволюцию в рамках этой линейки вредоносных программ.
-----

BPFDoor - это сложная вредоносная программа для Linux, корни которой связаны с более старой вредоносной программой sniffdoor, чей исходный код было сложно найти. Несколько ранних образцов BPFDoor содержат жестко заданный пароль "justforfun", который, как предполагается, связан с ранним развитием и влиянием sniffdoor, разработанного примерно в 2006-2007 годах. BPFDoor объединяет расширенные функции по сравнению со sniffdoor, такие как улучшенная скрытность, использование фильтра BPF для минимизации трафика в процессе поиска определенных пакетов и поддержка волшебных пакетов по протоколам TCP, UDP и ICMP. Его полезная нагрузка зашифрована, что способствует использованию механизмов обхода, которые включают в себя маскировку имени процесса и замедление времени.

И BPFDoor, и sniffdoor используют общий код из программы под названием bindtty, при этом BPFDoor также использует правила iptables для эффективного сокрытия своих процессов. Исследование предполагает, что разработчиком BPFDoor мог быть либо WZT, создатель sniffdoor, либо под влиянием более раннего кода из той же линейки, хотя остается неопределенность относительно точного авторства. Использование фразы "просто для развлечения" может либо отражать связь между разработчиками, либо быть простым совпадением, отражающим общую культуру среди энтузиастов Linux.

В ходе анализа был обнаружен более ранний вариант под названием NotBPFDoor, который демонстрирует значительное совпадение кода с BPFDoor, хотя в нем отсутствуют некоторые сложные функции, такие как фильтр BPF, который использует BPFDoor. Эта версия была обнаружена в 2016 году, она появилась раньше общедоступного исходного кода и указывает на эволюцию возможностей вредоносного ПО с течением времени.

Дальнейшее техническое исследование показало, что в ранних версиях BPFDoor обычно используется одно жестко заданное имя процесса, затем оно заменяется на случайно выбранные имена и возвращается к отдельным именам в более новых версиях. Механизмы сохранения работоспособности вредоносного ПО указывали на использование скриптов, выполняемых при входе пользователя в систему, для поддержания работоспособности после перезагрузки.

Коммуникация вредоносного ПО основана на жестко закодированных магических байтах, с течением времени наблюдаются изменения, которые относятся к различным образцам BPFDoor. NotBPFDoor выделяется как ранняя ветвь BPFDoor, что указывает на почти линейный эволюционный путь в разработке и развертывании стратегии вредоносного ПО, который будет дополнительно изучен в последующих анализах. Это всестороннее исследование эволюции BPFDoor подчеркивает сложное взаимодействие исторических разработок вредоносных программ и потенциального перекрестного распространения кода в среде хакеров.

#ParsedReport #CompletenessLow
04-06-2025

BPFDoor Part 2 - The Present

https://haxrob.net/bpfdoor-past-and-present-part-2/

Report completeness: Low

Threats:
Bpfdoor

Victims:
Telecommunications provider

Industry:
Telco

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1070.004, T1095, T1573.002

IOCs:
Hash: 15
Coin: 1
File: 1

Soft:
Linux, systemd, openssl

Algorithms:
rc4, sha1, md5

Win API:
setsockopt

YARA: Found

Links:
https://github.com/haxrob/BPFDoor/blob/main/bpfdoor.c?ref=haxrob.net#L532
have more...
https://github.com/haxrob/BPFDoor/blob/main/bpfdoor.c?ref=haxrob.net#L524C16-L524C50
https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal\_lnx\_implant\_may22.yar?ref=haxrob.net

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Последние версии вредоносного ПО BPFDoor были усовершенствованы, чтобы избежать обнаружения за счет удаления операций без использования файлов, ограничения использования сокетов до SOCK_UDP и внедрения SSL-сертификатов для шифрования. Вредоносное ПО теперь сохраняет свое присутствие на диске с фиксированными именами процессов, что усложняет методы обнаружения. Аналитики должны адаптироваться, отслеживая неожиданные процессы и проверяя различные типы разъемов для выявления потенциальных аномалий.
-----

Последние версии вредоносного ПО BPFDoor были разработаны таким образом, чтобы обойти существующие механизмы обнаружения, особенно те, которые определены в правилах BPFDoor Yara от 2022 года. Примечательно, что в результате взлома одного из крупных телекоммуникационных провайдеров в апреле 2025 года были обнаружены эти новые, статически скомпилированные и удаленные образцы, которые демонстрируют значительные изменения в поведении по сравнению с более ранними версиями. Обновленный BPFDoor больше не использует сокеты SOCK_RAW; вместо этого в его открытых файловых дескрипторах присутствуют только сокеты SOCK_UDP, в то время как он продолжает принимать пакеты пробуждения, отправленные по протоколам ICMP, UDP и TCP.

Одним из наиболее существенных изменений является удаление функции работы без файлов, которая ранее позволяла вредоносному ПО копировать себя в файл /dev/shm, запускаться оттуда и впоследствии удалять свои следы с диска. Текущий вариант не взаимодействует с /dev/shm и сохраняет свое присутствие на диске, функционируя больше как обычный процесс. Тактика маскировки также претерпела изменения; в то время как в более ранних версиях имена масок выбирались случайным образом из заранее определенного списка распространенных имен процессов, в новой реализации используется фиксированное имя процесса и настраиваются пути к файлам блокировки мьютексов, чтобы они более эффективно вписывались в целевую среду. Это изменение усложняет обнаружение, поскольку традиционные методы обнаружения, которые выполняют поиск по определенным именам процессов или типам сокетов, могут не определить наличие BPFDoor.

Еще одним важным аспектом является обновление механизма транспортного шифрования SSL, который теперь включает встроенный сертификат, обеспечивающий высокий уровень конфиденциальности при передаче данных. Кроме того, длина BPF (Berkeley Packet Filter) была увеличена до 229 байт, что может повысить его способность оставаться незамеченным при выполнении операций на сетевом уровне.

Отказ от ранее эффективных методов уклонения привел к изменению методологий обнаружения; аналитикам теперь рекомендуется отслеживать непредвиденные процессы, которые поддерживают открытые исходные сокеты, поскольку ранее применявшиеся методы больше неприменимы. Отсутствие SOCK_RAW в поведении BPFDoor переключает внимание аналитиков, которым теперь, возможно, потребуется проверить другие типы сокетов, чтобы найти аномалии, которые могли бы указывать на присутствие BPFDoor.

Таким образом, вредоносная программа BPFDoor адаптировала свою тактику работы, изменив использование сокетов, поведение своих процессов, отказавшись от использования временных файлов для выполнения и изменив методы шифрования. Эти изменения создают новые проблемы при обнаружении и указывают на продолжающуюся эволюцию стратегий вредоносного ПО, направленных на противодействие мерам безопасности.

#ParsedReport #CompletenessLow
04-06-2025

New MintsLoader campaign confirms a targeted timing strategy

https://cert-agid.gov.it/news/nuova-campagna-mintsloader-conferma-una-mirata-strategia-temporale/

Report completeness: Low

Threats:
Mintsloader

Geo:
Italian

ChatGPT TTPs:
do not use without manual check
T1027, T1082, T1105, T1113, T1114, T1566.002, T1568.002

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MintsLoader, загрузчик на базе PowerShell, развивает тактику, используя итальянский рабочий календарь для атак на систему PEC. Он использует запутанные ссылки на JavaScript, DGA для динамических доменов и сложные сценарии PowerShell, что усложняет поиск полезной нагрузки для аналитиков.
-----

Недавняя кампания с участием MintsLoader, которая стала девятой с начала 2025 года, демонстрирует эволюционирующую тактику киберпреступников, которые эффективно согласовывают свои атаки с рабочим графиком в Италии. Эта адаптация позволяет злоумышленникам использовать в своих интересах время, когда пользователи с наибольшей вероятностью получают доступ к коммуникациям, связанным с работой, в частности к системе Posta Elettronica Certificata (PEC), после перерывов, таких как выходные и праздничные дни.

MintsLoader работает как загрузчик на базе PowerShell, который в основном используется для распространения различных типов вредоносных программ, преимущественно разновидностей Infostealer. Методология атаки обычно включает отправку электронных писем, содержащих ссылки на зашифрованные файлы JavaScript. Этот подход использует алгоритм генерации домена (DGA) для динамического создания вредоносных адресов, при этом время активации домена стратегически запланировано на обычные рабочие часы. Несмотря на то, что электронные письма отправляются рано утром, злоумышленники стремятся к тому, чтобы пользователи общались с ними во время работы.

Как часть цепочки заражения, доставка полезных данных тщательно контролируется с помощью сценариев PowerShell, что повышает общую эффективность атаки. Однако кампания подкрепляется строгими проверками на стороне сервера, которые усложняют работу аналитиков вредоносных программ, пытающихся извлечь конечные вредоносные данные. Такая сложность указывает на постоянное совершенствование кампаний MintsLoader, что создает проблемы не только для целевых пользователей, но и для специалистов по кибербезопасности, пытающихся смягчить эти угрозы.

#ParsedReport #CompletenessLow
04-06-2025

Operation RUN: The Cyber Carnival of "Offshore Patriots"

https://ti.qianxin.com/blog/articles/operation-run-the-cyber-carnival-of-offshore-patriots-en/

Report completeness: Low

Actors/Campaigns:
Utg-q-015
Giant (motivation: cyber_espionage)
Eviloong (motivation: cyber_espionage)

Threats:
Raindrop_tool
Cobalt_strike_tool
Fscan_tool
Hawk
Xnote
Vshell

Victims:
Csdn, Top sites, Government, Enterprise, Blockchain websites, Digital signature backend, Bitcoin backend, Gitlab backend, Financial institutions, Domestic programming forums, have more...

Industry:
Government, Financial

Geo:
Asian, Asia

CVEs:
CVE-2023-48022 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- anyscale ray (2.6.3, 2.8.0)

CVE-2017-12611 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: False
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache struts (2.0.1, 2.0.2, 2.0.3, 2.0.4, 2.0.5)

CVE-2021-38647 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft azure automation state configuration (-)
- microsoft azure automation update management (-)
- microsoft azure diagnostics (lad) (-)
- microsoft azure open management infrastructure (-)
- microsoft azure security center (-)
have more...
CVE-2017-9805 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache struts (<2.3.34, <2.5.13)


ChatGPT TTPs:
do not use without manual check
T1059, T1071.001, T1078, T1105, T1110.001, T1190, T1219, T1566.002

IOCs:
Url: 2
File: 1
Hash: 5

Soft:
Linux

Crypto:
bitcoin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UTG-Q-015 активизировала свои кибероперации, используя известные уязвимости нулевого дня, такие как CVE-2021-38647 и CVE-2023-48022, для атаки на государственные и финансовые учреждения. Используя фишинг и развертывание.Используя сетевые бэкдоры, группа обеспечивает несанкционированный доступ, утечку данных и удаленный контроль над важными исследовательскими инфраструктурами искусственного интеллекта.
-----

В отчете обсуждаются недавние действия хакерской группы UTG-Q-015, которая изменила тактику использования как неизвестных, так и ранее известных уязвимостей, нацеленных на правительственные и корпоративные веб-платформы. Деятельность этой группы набрала обороты в декабре 2024 года после инцидента с CSDN, и с тех пор они использовали более изощренные методы атак, в частности, нацеливаясь на технологические системы блокчейна и финансовые учреждения. К марту 2025 года UTG-Q-015 внедрила сеть сканирующих узлов для выявления и использования уязвимых серверов в государственном секторе, используя уязвимости нулевого дня, такие как CVE-2021-38647, и уязвимости Nday, включая CVE-2017-12611 и CVE-2017-9805, для облегчения несанкционированного доступа.

Атаки были многогранными; помимо нацеливания на веб-серверы, они использовали методы фишинга, чтобы обманом заставить пользователей загружать вредоносные файлы. Примером этого может служить внедрение облегченных систем.СЕТЕВЫЕ бэкдоры, способные выполнять команды и загружать файлы. Группа продемонстрировала способность осуществлять атаки на финансовые подразделения, изначально используя уязвимости в Интернете для получения доступа к пограничным серверам, а затем отправляя вредоносную информацию посредством обмена мгновенными сообщениями, замаскированную под обновления программного обеспечения. Примечательно, что полезная нагрузка включала в себя эксфильтрацию данных и удаленное управление с помощью таких бэкдоров, как Xnote, Ghost и Vshell, особенно в отношении исследовательских инфраструктур, связанных с искусственным интеллектом.

Тревожным аспектом, отмеченным в выводах, является использование UTG-Q-015 специфических уязвимостей, связанных с плагином ComfyUI-Manager. Это позволило им непреднамеренно распространять вредоносные файлы моделей и получать доступ к конфиденциальным серверам для исследований искусственного интеллекта, используя CVE-2023-48022. Векторы атак включали удаленный доступ к командной строке и выполнение сценариев, которые в конечном итоге привели к появлению дополнительных бэкдоров.

#ParsedReport #CompletenessHigh
04-06-2025

Cyber Attacks on Government Agencies: Detect and Investigate with ANY.RUNfor Fast Response

https://any.run/cybersecurity-blog/how-to-investigate-government-cyber-attacks/

Report completeness: High

Threats:
Formbook
Screenconnect_tool
Credential_harvesting_technique

Victims:
South carolina department of employment and workforce, Us social security administration, South african judiciary

Industry:
Government

Geo:
African, Usa

TTPs:

ChatGPT TTPs:
do not use without manual check
T1003, T1071.001, T1072, T1078, T1078.004, T1114, T1518, T1552.001, T1563.002, T1566, have more...

IOCs:
File: 5
Domain: 1
Hash: 1

Soft:
Outlook, Microsoft Office 365

Algorithms:
zip, sha256

Functions:
C2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Правительственные учреждения сталкиваются с изощренными кибератаками, в частности с фишинговыми кампаниями, направленными против таких организаций, как Министерство занятости и трудовых ресурсов Южной Каролины и судебная система Южной Африки. Вредоносная программа FormBook, идентифицированная в ZIP-файле, действует как похититель учетных данных, используя методы MITRE ATT&CK для кражи учетных данных и обнаружения программного обеспечения. Фишинговые домены, имитирующие государственные учреждения, такие как Управление социального обеспечения, являются частью скоординированных усилий по обману пользователей, в то время как вредоносные PDF-файлы направляют пользователей на поддельные страницы входа в систему для получения учетных данных.
-----

Правительственные учреждения все чаще сталкиваются с изощренными кибератаками, которые используют методы социальной инженерии для проникновения в системы. Были выявлены два наиболее заметных направления атак: фишинговая кампания, нацеленная на Департамент занятости и трудовых ресурсов Южной Каролины, и вредоносный PDF-файл, выдаваемый за судебное уведомление от судебной власти Южной Африки. В ходе анализа было обнаружено, что фишинговое электронное письмо, адресованное DEW в Южной Каролине, содержало вложенный ZIP-файл с именем "Quotation.zip", в котором содержался исполняемый файл, который был помечен как вредоносное ПО FormBook. Эта вредоносная программа работает как похититель учетных данных и демонстрирует поведение, соответствующее методам MITRE ATT&CK T1552.001 (Учетные данные в файлах) и T1518 (обнаружение программного обеспечения). Анализ сетевого трафика подтвердил активность FormBook с помощью шаблонов, обнаруженных с помощью правил Suricata.

Дальнейшее изучение аналогичных фишинговых атак, нацеленных на правительственные учреждения США, привело к поиску образцов формуляров, связанных с электронными письмами, полученными американскими пользователями. Заслуживающим внимания было исследование фишинговых доменов, ориентированных на выдачу себя за администрацию социального обеспечения, что высветило структурированный подход злоумышленников к обману доверенных агентств. В ходе этого анализа было обнаружено несколько вредоносных доменов, например, один из них выдавал себя за SSA с подсказками, которые непреднамеренно заставляли пользователей загружать инструмент удаленного администрирования ScreenConnect, что иллюстрировало попытки несанкционированного доступа.

В отчете также рассматривается тактика, применяемая против министерств иностранных дел, выявляя немалое количество потенциально вредоносных доменов, имитирующих веб-сайты правительственных учреждений. Было обнаружено, что эти домены активно используются в фишинговых кампаниях, что отражает совокупный поиск индикаторов компрометации (IOCs) и тактик, методов и процедур (TTP), связанных с этими угрозами.

В рамках отдельного сценария был проанализирован вредоносный PDF-файл, маскирующийся под срочное судебное уведомление. В документе была предпринята попытка незаконно перенаправить пользователей на фишинговый веб-сайт с помощью предполагаемой ссылки для просмотра материалов дела. После перехода по ссылке, содержащейся в PDF-файле, пользователи попадали на вредоносный HTML-документ, имитирующий страницу входа в Microsoft Office 365, с целью получения учетных данных пользователя. Усилия по улучшению обнаружения угроз и их наглядности включали извлечение встроенных изображений из PDF-файла и сопоставление их с базой данных для выявления аналогичных попыток социальной инженерии.

#ParsedReport #CompletenessMedium
04-06-2025

The strange tale of ischhfd83: When cybercriminals eat their own

https://news.sophos.com/en-us/2025/06/04/the-strange-tale-of-ischhfd83-when-cybercriminals-eat-their-own/

Report completeness: Medium

Actors/Campaigns:
Stargazer_goblin
Gitvenom
Tusk

Threats:
Asyncrat
Lumma_stealer
Sakura_rat
Prebuild_backdoor
Kekw
Blackcap
Keyzetsu
Stargazers_ghost_network
Xworm_rat
Quasar_rat
Boxtor
Doenerium
Epsilon
Sys01_stealer
Shadow_copies_delete_technique
Remcos_rat
Putty_tool
Right-to-left_override_technique

Industry:
Financial, Entertainment

Geo:
Russian, Spain

CVEs:
CVE-2025-12654 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


IOCs:
Email: 2
File: 5
Url: 13
Domain: 6

Soft:
Visual Studio, Electron, Telegram, Discord, Twitter, Outlook, Windows Defender

Algorithms:
base64, 7zip

Functions:
Point, p, d, e, eval, calc, getUpdates, getWebhookinfo

Languages:
python, javascript, visual_basic, powershell

Links:
have more...
https://github.com/sophoslabs/IoCs/blob/master/repository-backdoor-IOCs.csv
https://github.com/mazipan/auto-commit/tree/master
https://docs.github.com/en/actions/writing-workflows/about-workflows

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Sakura RAT, троянец для удаленного доступа с открытым исходным кодом, включает в себя скрытые компоненты, которые компрометируют пользователей, компилирующих вредоносное ПО, используя измененный конфигурационный файл для загрузки дополнительного вредоносного ПО во время компиляции. В нем используются различные бэкдоры с уникальными методами обхода, связанные с более чем 140 скомпрометированными репозиториями, в первую очередь для неопытных разработчиков и геймеров. Расследование подчеркивает необходимость осторожности при работе с открытым исходным кодом и подчеркивает текущие усилия по защите среды от этих угроз.
-----

Недавнее расследование в отношении Sakura RAT, троянца с открытым исходным кодом для удаленного доступа (RAT), первоначально размещенного на GitHub, показало, что он содержит скрытые компоненты, нацеленные на тех, кто скомпилировал вредоносное ПО. Первоначально это считалось незначительной угрозой, но дальнейший анализ выявил связь между ее разработчиком и более чем сотней других скомпрометированных репозиториев, включая как вредоносный код, так и игровые читы. Эти скрытые хранилища предназначены для неопытных хакеров и игровых мошенников, которые используют запутывание и сложные цепочки заражения, чтобы скрыть свою истинную природу.

Критическая уязвимость в Sakura RAT заключается в файле конфигурации .vbproj, где событие PreBuild было обработано для автоматической загрузки дополнительного вредоносного ПО на устройство пользователя в процессе сборки. Такое поведение указывает на изощренный метод использования возможностей бэкдора, маскирующийся под законную деятельность по разработке. В дальнейшем в качестве полезной нагрузки были использованы различные инфокрады и RAT, такие как AsyncRAT и Lumma Stealer.

В ходе расследования были выявлены четыре различных типа бэкдор-механизмов: пакетные/VBS/PowerShell, варианты на Python, файлы-заставки и JavaScript. Каждый тип использовал уникальные стратегии обхода, включая методы обфускации и вводящие в заблуждение методы кодирования. Например, бэкдоры на Python использовали трюк с пробелами для скрытия кода и использовали жестко закодированные ключи дешифрования, в то время как бэкдоры на JavaScript содержали сегменты, предназначенные для оценки и выполнения вредоносной полезной нагрузки, скрытой в строках, закодированных в Base64.

Более того, определенные показатели, такие как повторяющиеся шаблоны и электронные письма, связанные с хакером, помогли исследователям отследить 141 хранилище, в 133 из которых были обнаружены скрытые компоненты. Эта кампания, по-видимому, взаимосвязана с предыдущими усилиями, задокументированными различными исследователями, что указывает на широко распространенную практику использования фальсифицированных репозиториев GitHub для распространения вредоносного ПО, особенно под видом предоставления читов и инструментов для взлома.

Методы распространения остаются неясными, но в предыдущих кампаниях использовались такие платформы, как Discord и YouTube, для распространения ссылок на вредоносный код. Примечательно, что есть опасения, что освещение в СМИ возможностей Sakura RAT непреднамеренно способствовало распространению репозитория, что привело к неосознанным загрузкам пользователями, стремящимися проверить предполагаемую сложность RAT.

Последствия этого подчеркивают важность мер безопасности для разработчиков, экспериментирующих с репозиториями с открытым исходным кодом, и подчеркивают необходимость проявлять бдительность в отношении загрузки и компиляции непроверенного кода. Пользователям рекомендуется отслеживать признаки компрометации и поддерживать изолированную среду при выполнении подозрительного кода. Текущие усилия по устранению этих угроз включают в себя отправку сообщений о взломанных репозиториях на GitHub и защиту пользовательской среды от потенциальных бэкдоров.

#ParsedReport #CompletenessLow
04-06-2025

Simple SSH Backdoor

https://isc.sans.edu/diary/32000

Report completeness: Low

Threats:
Putty_tool
Lolbin_technique

TTPs:

ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1078, T1090.001, T1105, T1112, T1218.011, T1569.002

IOCs:
File: 3
Hash: 1
Path: 1
IP: 1

Soft:
OpenSSH

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют OpenSSH в Windows 10, используя троянские программы для создания бэкдоров. Файл с именем "dllhost.exe" пытается запустить службу SSH и сгенерировать конфигурацию C2, но сервер был обнаружен неработоспособным, что подчеркивает необходимость бдительности при мониторинге развертываний SSH.
-----

Внедрение OpenSSH в Windows 10 в качестве компонента по умолчанию открыло новые возможности как для законного использования, так и для вредоносной деятельности. В сфере кибербезопасности известны случаи, когда злоумышленники использовали в своих операциях троянские версии распространенных инструментов, таких как Putty. В частности, файл, загруженный в VirusTotal как "dllhost.exe " (SHA256:b701272e20db5e485fe8b4f480ed05bcdba88c386d44dc4a17fe9a7b6b9c026b) был помечен как вредоносный код, демонстрирующий попытку использования OpenSSH для создания бэкдора в скомпрометированных системах.

Поведение вредоносной программы характеризуется попытками запустить существующую службу SSH на компьютере жертвы. Если активация завершается неудачей, вредоносная программа считывает раздел реестра (SOFTWARE\SSHservice), чтобы получить доступ к ранее сохраненным конфигурациям, ориентируясь на случайный порт. Затем он создает конфигурационный файл, предназначенный для подключения к серверу управления (C2) атакующего. Этот файл конфигурации C2 создается в формате "c:\windows\temp\config" и содержит важные сведения о подключении, включая IP-адрес злоумышленника, учетные данные пользователя, номер порта и различные параметры SSH, предназначенные для поддержания активного соединения.

После создания этой конфигурации вредоносная программа работает в бесконечном цикле с длительными интервалами ожидания. Однако в ходе анализа было обнаружено, что сервер C2 не работает, а сгенерированный файл конфигурации содержит недопустимый синтаксис, особенно в отношении директивы RemoteForward.

Этот инцидент подчеркивает необходимость проявлять бдительность при мониторинге развертывания OpenSSH в системах Windows, поскольку у него есть потенциальные возможности как для законного удаленного доступа, так и для использования злоумышленниками. Кроме того, возможность таких инструментов, как scp.exe, осуществлять эксфильтрацию данных, подчеркивает двойную природу SSH, что требует принятия комплексных мер безопасности для предотвращения потенциальных злоупотреблений в сетевых средах.

#ParsedReport #CompletenessLow
04-06-2025

The Cost of a Call: From Voice Phishing to Data Extortion

https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion/

Report completeness: Low

Actors/Campaigns:
Unc6040 (motivation: information_theft, financially_motivated)

Threats:
Shinyhunters
Mfa_bombing_technique

Victims:
Salesforce customers, Multinational corporations, Okta users, Microsoft 365 users

ChatGPT TTPs:
do not use without manual check
T1078, T1090.003, T1105, T1556.006, T1566.001, T1567.002, T1598

Soft:
outlook