#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Правительственные учреждения сталкиваются с изощренными кибератаками, в частности с фишинговыми кампаниями, направленными против таких организаций, как Министерство занятости и трудовых ресурсов Южной Каролины и судебная система Южной Африки. Вредоносная программа FormBook, идентифицированная в ZIP-файле, действует как похититель учетных данных, используя методы MITRE ATT&CK для кражи учетных данных и обнаружения программного обеспечения. Фишинговые домены, имитирующие государственные учреждения, такие как Управление социального обеспечения, являются частью скоординированных усилий по обману пользователей, в то время как вредоносные PDF-файлы направляют пользователей на поддельные страницы входа в систему для получения учетных данных.
-----

Правительственные учреждения все чаще сталкиваются с изощренными кибератаками, которые используют методы социальной инженерии для проникновения в системы. Были выявлены два наиболее заметных направления атак: фишинговая кампания, нацеленная на Департамент занятости и трудовых ресурсов Южной Каролины, и вредоносный PDF-файл, выдаваемый за судебное уведомление от судебной власти Южной Африки. В ходе анализа было обнаружено, что фишинговое электронное письмо, адресованное DEW в Южной Каролине, содержало вложенный ZIP-файл с именем "Quotation.zip", в котором содержался исполняемый файл, который был помечен как вредоносное ПО FormBook. Эта вредоносная программа работает как похититель учетных данных и демонстрирует поведение, соответствующее методам MITRE ATT&CK T1552.001 (Учетные данные в файлах) и T1518 (обнаружение программного обеспечения). Анализ сетевого трафика подтвердил активность FormBook с помощью шаблонов, обнаруженных с помощью правил Suricata.

Дальнейшее изучение аналогичных фишинговых атак, нацеленных на правительственные учреждения США, привело к поиску образцов формуляров, связанных с электронными письмами, полученными американскими пользователями. Заслуживающим внимания было исследование фишинговых доменов, ориентированных на выдачу себя за администрацию социального обеспечения, что высветило структурированный подход злоумышленников к обману доверенных агентств. В ходе этого анализа было обнаружено несколько вредоносных доменов, например, один из них выдавал себя за SSA с подсказками, которые непреднамеренно заставляли пользователей загружать инструмент удаленного администрирования ScreenConnect, что иллюстрировало попытки несанкционированного доступа.

В отчете также рассматривается тактика, применяемая против министерств иностранных дел, выявляя немалое количество потенциально вредоносных доменов, имитирующих веб-сайты правительственных учреждений. Было обнаружено, что эти домены активно используются в фишинговых кампаниях, что отражает совокупный поиск индикаторов компрометации (IOCs) и тактик, методов и процедур (TTP), связанных с этими угрозами.

В рамках отдельного сценария был проанализирован вредоносный PDF-файл, маскирующийся под срочное судебное уведомление. В документе была предпринята попытка незаконно перенаправить пользователей на фишинговый веб-сайт с помощью предполагаемой ссылки для просмотра материалов дела. После перехода по ссылке, содержащейся в PDF-файле, пользователи попадали на вредоносный HTML-документ, имитирующий страницу входа в Microsoft Office 365, с целью получения учетных данных пользователя. Усилия по улучшению обнаружения угроз и их наглядности включали извлечение встроенных изображений из PDF-файла и сопоставление их с базой данных для выявления аналогичных попыток социальной инженерии.

#ParsedReport #CompletenessMedium
04-06-2025

The strange tale of ischhfd83: When cybercriminals eat their own

https://news.sophos.com/en-us/2025/06/04/the-strange-tale-of-ischhfd83-when-cybercriminals-eat-their-own/

Report completeness: Medium

Actors/Campaigns:
Stargazer_goblin
Gitvenom
Tusk

Threats:
Asyncrat
Lumma_stealer
Sakura_rat
Prebuild_backdoor
Kekw
Blackcap
Keyzetsu
Stargazers_ghost_network
Xworm_rat
Quasar_rat
Boxtor
Doenerium
Epsilon
Sys01_stealer
Shadow_copies_delete_technique
Remcos_rat
Putty_tool
Right-to-left_override_technique

Industry:
Financial, Entertainment

Geo:
Russian, Spain

CVEs:
CVE-2025-12654 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


IOCs:
Email: 2
File: 5
Url: 13
Domain: 6

Soft:
Visual Studio, Electron, Telegram, Discord, Twitter, Outlook, Windows Defender

Algorithms:
base64, 7zip

Functions:
Point, p, d, e, eval, calc, getUpdates, getWebhookinfo

Languages:
python, javascript, visual_basic, powershell

Links:
have more...
https://github.com/sophoslabs/IoCs/blob/master/repository-backdoor-IOCs.csv
https://github.com/mazipan/auto-commit/tree/master
https://docs.github.com/en/actions/writing-workflows/about-workflows

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Sakura RAT, троянец для удаленного доступа с открытым исходным кодом, включает в себя скрытые компоненты, которые компрометируют пользователей, компилирующих вредоносное ПО, используя измененный конфигурационный файл для загрузки дополнительного вредоносного ПО во время компиляции. В нем используются различные бэкдоры с уникальными методами обхода, связанные с более чем 140 скомпрометированными репозиториями, в первую очередь для неопытных разработчиков и геймеров. Расследование подчеркивает необходимость осторожности при работе с открытым исходным кодом и подчеркивает текущие усилия по защите среды от этих угроз.
-----

Недавнее расследование в отношении Sakura RAT, троянца с открытым исходным кодом для удаленного доступа (RAT), первоначально размещенного на GitHub, показало, что он содержит скрытые компоненты, нацеленные на тех, кто скомпилировал вредоносное ПО. Первоначально это считалось незначительной угрозой, но дальнейший анализ выявил связь между ее разработчиком и более чем сотней других скомпрометированных репозиториев, включая как вредоносный код, так и игровые читы. Эти скрытые хранилища предназначены для неопытных хакеров и игровых мошенников, которые используют запутывание и сложные цепочки заражения, чтобы скрыть свою истинную природу.

Критическая уязвимость в Sakura RAT заключается в файле конфигурации .vbproj, где событие PreBuild было обработано для автоматической загрузки дополнительного вредоносного ПО на устройство пользователя в процессе сборки. Такое поведение указывает на изощренный метод использования возможностей бэкдора, маскирующийся под законную деятельность по разработке. В дальнейшем в качестве полезной нагрузки были использованы различные инфокрады и RAT, такие как AsyncRAT и Lumma Stealer.

В ходе расследования были выявлены четыре различных типа бэкдор-механизмов: пакетные/VBS/PowerShell, варианты на Python, файлы-заставки и JavaScript. Каждый тип использовал уникальные стратегии обхода, включая методы обфускации и вводящие в заблуждение методы кодирования. Например, бэкдоры на Python использовали трюк с пробелами для скрытия кода и использовали жестко закодированные ключи дешифрования, в то время как бэкдоры на JavaScript содержали сегменты, предназначенные для оценки и выполнения вредоносной полезной нагрузки, скрытой в строках, закодированных в Base64.

Более того, определенные показатели, такие как повторяющиеся шаблоны и электронные письма, связанные с хакером, помогли исследователям отследить 141 хранилище, в 133 из которых были обнаружены скрытые компоненты. Эта кампания, по-видимому, взаимосвязана с предыдущими усилиями, задокументированными различными исследователями, что указывает на широко распространенную практику использования фальсифицированных репозиториев GitHub для распространения вредоносного ПО, особенно под видом предоставления читов и инструментов для взлома.

Методы распространения остаются неясными, но в предыдущих кампаниях использовались такие платформы, как Discord и YouTube, для распространения ссылок на вредоносный код. Примечательно, что есть опасения, что освещение в СМИ возможностей Sakura RAT непреднамеренно способствовало распространению репозитория, что привело к неосознанным загрузкам пользователями, стремящимися проверить предполагаемую сложность RAT.

Последствия этого подчеркивают важность мер безопасности для разработчиков, экспериментирующих с репозиториями с открытым исходным кодом, и подчеркивают необходимость проявлять бдительность в отношении загрузки и компиляции непроверенного кода. Пользователям рекомендуется отслеживать признаки компрометации и поддерживать изолированную среду при выполнении подозрительного кода. Текущие усилия по устранению этих угроз включают в себя отправку сообщений о взломанных репозиториях на GitHub и защиту пользовательской среды от потенциальных бэкдоров.

#ParsedReport #CompletenessLow
04-06-2025

Simple SSH Backdoor

https://isc.sans.edu/diary/32000

Report completeness: Low

Threats:
Putty_tool
Lolbin_technique

TTPs:

ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1078, T1090.001, T1105, T1112, T1218.011, T1569.002

IOCs:
File: 3
Hash: 1
Path: 1
IP: 1

Soft:
OpenSSH

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют OpenSSH в Windows 10, используя троянские программы для создания бэкдоров. Файл с именем "dllhost.exe" пытается запустить службу SSH и сгенерировать конфигурацию C2, но сервер был обнаружен неработоспособным, что подчеркивает необходимость бдительности при мониторинге развертываний SSH.
-----

Внедрение OpenSSH в Windows 10 в качестве компонента по умолчанию открыло новые возможности как для законного использования, так и для вредоносной деятельности. В сфере кибербезопасности известны случаи, когда злоумышленники использовали в своих операциях троянские версии распространенных инструментов, таких как Putty. В частности, файл, загруженный в VirusTotal как "dllhost.exe " (SHA256:b701272e20db5e485fe8b4f480ed05bcdba88c386d44dc4a17fe9a7b6b9c026b) был помечен как вредоносный код, демонстрирующий попытку использования OpenSSH для создания бэкдора в скомпрометированных системах.

Поведение вредоносной программы характеризуется попытками запустить существующую службу SSH на компьютере жертвы. Если активация завершается неудачей, вредоносная программа считывает раздел реестра (SOFTWARE\SSHservice), чтобы получить доступ к ранее сохраненным конфигурациям, ориентируясь на случайный порт. Затем он создает конфигурационный файл, предназначенный для подключения к серверу управления (C2) атакующего. Этот файл конфигурации C2 создается в формате "c:\windows\temp\config" и содержит важные сведения о подключении, включая IP-адрес злоумышленника, учетные данные пользователя, номер порта и различные параметры SSH, предназначенные для поддержания активного соединения.

После создания этой конфигурации вредоносная программа работает в бесконечном цикле с длительными интервалами ожидания. Однако в ходе анализа было обнаружено, что сервер C2 не работает, а сгенерированный файл конфигурации содержит недопустимый синтаксис, особенно в отношении директивы RemoteForward.

Этот инцидент подчеркивает необходимость проявлять бдительность при мониторинге развертывания OpenSSH в системах Windows, поскольку у него есть потенциальные возможности как для законного удаленного доступа, так и для использования злоумышленниками. Кроме того, возможность таких инструментов, как scp.exe, осуществлять эксфильтрацию данных, подчеркивает двойную природу SSH, что требует принятия комплексных мер безопасности для предотвращения потенциальных злоупотреблений в сетевых средах.

#ParsedReport #CompletenessLow
04-06-2025

The Cost of a Call: From Voice Phishing to Data Extortion

https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion/

Report completeness: Low

Actors/Campaigns:
Unc6040 (motivation: information_theft, financially_motivated)

Threats:
Shinyhunters
Mfa_bombing_technique

Victims:
Salesforce customers, Multinational corporations, Okta users, Microsoft 365 users

ChatGPT TTPs:
do not use without manual check
T1078, T1090.003, T1105, T1556.006, T1566.001, T1567.002, T1598

Soft:
outlook

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Threat cluster UNC6040 проводит вредоносные кампании, нацеленные на Salesforce, используя социальную инженерию, чтобы обманом заставить сотрудников авторизовать вредоносное приложение, которое удаляет конфиденциальные данные. Они используют фишинг и VPN для маскировки действий, а также нацелены на другие системы, такие как Okta и Microsoft 365. Меры по смягчению последствий включают обеспечение доступа с наименьшими привилегиями, надзор за приложениями, ограничения IP-адресов и надежную реализацию MFA.
-----

Google Threat Intelligence Group (GTIG) выявила финансово мотивированный кластер угроз, известный как UNC6040, который участвует в голосовых фишинговых кампаниях, нацеленных на экземпляры Salesforce организаций. Этот хакер использует тактику социальной инженерии, чтобы выдать себя за сотрудников ИТ-службы поддержки, успешно взламывая сети, обманом заставляя сотрудников, в первую очередь в англоязычных регионах, разглашать конфиденциальные данные. Методология UNC6040 заключается в том, чтобы обманом заставить жертв авторизовать вредоносное подключенное приложение, модифицированную версию загрузчика данных Salesforce, которая предоставляет злоумышленникам широкий доступ к конфиденциальным данным.

Основной целью атаки является направление жертв посредством телефонных звонков на страницу настройки приложения Salesforce connected app для авторизации мошеннического приложения. Это действие предоставляет UNC6040 возможности запрашивать и извлекать данные из скомпрометированных сред Salesforce. Кампания подчеркивает продолжающуюся тенденцию, когда хакеры специально нацеливаются на ИТ-персонал, чтобы получить доступ к ценной корпоративной информации. После первоначального взлома было замечено, что злоумышленники перемещаются по сетям, извлекая данные из других систем, включая Okta и Microsoft 365.

UNC6040 также использует фишинговую инфраструктуру, которая включает панель управления для Okta, что еще больше упрощает их операции по краже данных за счет прямого получения учетных данных пользователей и кодов многофакторной аутентификации (MFA). Их оперативная тактика заключается в использовании VPN-сервисов, таких как Mullvad, для маскировки своей деятельности. Модели, наблюдаемые в их деятельности, имеют сходство с другими хакерскими группами, что указывает на более широкие связи внутри финансово мотивированных сообществ киберпреступников.

В ответ на эти угрозы GTIG предлагает несколько стратегий защиты от атак социальной инженерии, подобных тем, которые были реализованы в UNC6040. Организациям рекомендуется применять принцип наименьших привилегий в отношении инструментов доступа к данным, таких как Data Loader, ограничивая права доступа только основными пользователями. Крайне важен строгий надзор за подключенными приложениями, включая ограничение полномочий и создание процедур утверждения приложений, чтобы предотвратить внедрение вредоносного программного обеспечения.

Применение ограничений по IP-адресам для управления точками доступа еще больше усиливает защиту от попыток несанкционированного доступа. Кроме того, использование расширенных функций безопасности в системе Salesforce, таких как Salesforce Shield, позволяет улучшить мониторинг и получать оповещения в режиме реального времени о необычных действиях, а надежное внедрение MFA гарантирует, что даже при использовании тактик социальной инженерии будет обеспечен дополнительный уровень защиты от несанкционированного использования. Регулярные обзоры руководящих принципов и практик обеспечения безопасности необходимы для поддержания надежной защиты от таких целенаправленных кампаний по вымогательству.

#ParsedReport #CompletenessLow
04-06-2025

Hello, Operator? A Technical Analysis of Vishing Threats

https://cloud.google.com/blog/topics/threat-intelligence/technical-analysis-vishing-threats/

Report completeness: Low

Actors/Campaigns:
0ktapus
Unc6040 (motivation: financially_motivated)

Threats:
Sim_swapping_technique
Divulge_stealer
Roadrecon_tool
Mfa_bombing_technique

Victims:
Corporate service desks, Employees, Organizations

ChatGPT TTPs:
do not use without manual check
T1078, T1078.002, T1081, T1110, T1111, T1486, T1556.003, T1566.001, T1589, T1596, have more...

Links:
https://github.com/dirkjanm/ROADtools/tree/master/roadrecon

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры, такие как UNC3944 и UNC6040, используют вишинг для манипулирования сотрудниками с целью раскрытия конфиденциальной информации, что способствует таким атакам, как подмена SIM-карты и кража данных. Организациям следует внедрять надежные меры защиты от мошенничества и проводить обучение по выявлению попыток социальной инженерии, чтобы усилить защиту от этих тактик.
-----

Социальная инженерия, особенно в форме голосовых мошенничеств, известных как "вишинг", стала известной тактикой, используемой финансово мотивированными хакерами для получения первоначального доступа к организациям. Эти злоумышленники используют уязвимые места человека, такие как доверие и желание быть полезными, используя методы манипулирования людьми с целью разглашения конфиденциальной информации или совершения несанкционированных действий. Ключевой игрок в этой области, зарегистрированный как UNC3944 (также известный как “Рассеянный паук”), использовал vishing для выдачи себя за сотрудников и использования корпоративных служб поддержки для сброса учетных данных и многофакторной аутентификации (MFA). Этот доступ позволяет осуществлять последующие атаки, включая замену SIM-карты, внедрение программ-вымогателей и кражу данных.

Аналогичным образом, другой участник, идентифицированный как UNC6040, использует особый подход к мошенничеству. Их операторы выдают себя за службы ИТ-поддержки с целью обманом заставить сотрудников авторизовать вредоносное приложение, подключенное к Salesforce, что приводит к крупномасштабной утечке данных из среды жертвы. Оба участника подчеркивают разнообразие рисков, с которыми сталкиваются организации, поскольку один фокусируется на захвате аккаунтов и расширении доступа, в то время как другой сосредотачивается на целенаправленной краже данных системы управления взаимоотношениями с клиентами (CRM).

Для эффективной защиты от подобной тактики организации должны осознавать важность тщательной разведки, проводимой злоумышленниками, которая повышает доверие к попыткам социальной инженерии и их успешность. Как только выявляется уязвимое место, например номер службы поддержки, злоумышленники могут подделывать звонки, выдавая себя за законную службу ИТ-поддержки, особенно если нет установленных протоколов для проверки входящих вызовов.

Для устранения этих угроз важно внедрить надежные методы MFA на всех уязвимых интернет-порталах. Организациям рекомендуется стандартизировать решения MFA, исключив такие слабые методы, как SMS или голосовые вызовы, которые особенно уязвимы для вишинг-атак. Внедрение методов защиты от фишинга, таких как ключи безопасности FIDO2, и тщательное обучение сотрудников голосовым угрозам укрепят систему защиты. Регулярные симуляции фишинга, включая сценарии вишинга, могут помочь сотрудникам распознавать распространенные предлоги и уделять особое внимание протоколам проверки при неожиданных запросах конфиденциальной информации.

Наконец, использование технологий управления информацией о безопасности и событиях (SIEM) и координации, автоматизации и реагирования на них (SOAR) может помочь отслеживать активность пользователей и взаимодействие с service desk. Это позволяет организациям создавать оповещения о подозрительных действиях, связанных со сбросом пароля, регистрацией MFA и необычными попытками входа в систему. Упреждающее расследование любых помеченных действий имеет решающее значение для поддержания целостности безопасности в корпоративных сетях. Понимание этих хакерских приемов и принятие превентивных мер повысят устойчивость организации к растущей угрозе, исходящей от социальной инженерии на основе голоса.

#ParsedReport #CompletenessMedium
04-06-2025

How Threat Actors Exploit Human Trust: A Breakdown of the 'Prove You Are Human' Malware Scheme

https://dti.domaintools.com/how-threat-actors-exploit-human-trust/

Report completeness: Medium

Actors/Campaigns:
Carbanak
Storm-0408

Threats:
Netsupportmanager_rat
Fakecaptcha_technique
Socgholish_loader

ChatGPT TTPs:
do not use without manual check
T1027, T1056.003, T1059.001, T1071.001, T1105, T1140, T1192, T1204.001, T1547.001, T1566.002, have more...

IOCs:
Domain: 60
Url: 11
File: 6
Hash: 17
IP: 6

Soft:
Windows Registry, Discord

Algorithms:
7zip, zip

Languages:
php, powershell

Links:
https://github.com/3ls3if/Cybersecurity-Notes/blob/main/readme/social-engineering/clipboard-hijacking-post.md
https://github.com/DomainTools/SecuritySnacks/blob/main/2025/Prove-You-Are-Human.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания использует поддельные Gitcodes и сайты Docusign, чтобы обманом заставить пользователей запускать вредоносные сценарии PowerShell, что приводит к установке NetSupport RAT. Методы включают в себя отравление буфера обмена, многоступенчатые процессы загрузки и использование кодировки ROT13 для обфускации, что связано с хакерским кластером SocGholish.
-----

В этом отчете описывается вредоносная кампания, которая использует мошеннические веб-сайты, в частности поддельные Git-коды и поддельные страницы подтверждения Docusign, чтобы ввести пользователей в заблуждение и заставить их выполнять вредоносные сценарии PowerShell в своих системах Windows. Жертв обманом заставляют скопировать и запустить эти скрипты с помощью командной строки Windows, которая запускает многоуровневый процесс загрузки, приводящий к установке NetSupport RAT (троян удаленного доступа).

На веб-сайтах Gitcodes были обнаружены вредоносные скрипты PowerShell, облегчающие загрузку дополнительных скриптов. Исходный скрипт извлекает скрипт PowerShell второго этапа, который, в свою очередь, выполняет функцию загрузчика, отправляя несколько веб-запросов для получения скриптов третьего этапа из различных доменов. Эта цепочка запросов в конечном итоге приводит к тому, что на скомпрометированном компьютере выполняется запрос NetSupport RAT. Сайт Gitcodes, о котором идет речь, под названием "Gitcodes - инструмент для вставки # 1 с 2002 года!", был заполнен скриптом PowerShell, предназначенным для запутывания процесса сбора доменов и обеспечения устойчивости вредоносного ПО путем изменения системного реестра, чтобы обеспечить автоматический запуск RAT при входе пользователя в систему.

В ходе кампании также были выявлены дополнительные домены, включая поддельные веб-сайты Docusign, на которых аналогичным образом использовались многоэтапные программы загрузки скриптов. Вредоносная функция наиболее заметна в "docusign.sa.com/verification/s.php", где содержимое страницы изначально закодировано в ROT13, чтобы избежать обнаружения. Эта страница имитирует проверку с помощью CAPTCHA и после взаимодействия с пользователем запускает атаку, связанную с заражением буфера обмена, копируя вредоносный скрипт PowerShell в буфер обмена пользователя. Это побуждает жертву вставить скопированную строку в приглашение запуска Windows, запустив, таким образом, другой загрузчик PowerShell.

Атака с помощью буфера обмена инициирует последовательность действий, включающих проверки с помощью сервера управления и переписки (C2). После активации процесс извлекает, разархивирует и выполняет окончательную загрузку под названием "jp2launcher.exe", что приводит к установке NetSupport RAT на взломанный компьютер. Попытки фишинга по электронной почте и в социальных сетях, вероятно, использовались для распространения поддельного веб-сайта Docusign.

Несмотря на то, что кодировка ROT13 обеспечивает уровень обфускации, в отчете указывается, что во вредоносном коде присутствуют обнаруживаемые шаблоны, такие как согласованные строки и комментарии в PHP-скриптах, позволяющие осуществлять уникальную идентификацию. Анализ выявил использование схожих методов и закономерностей, которые согласуются с ранее сообщавшимися действиями, связанными с SocGholish, известным хакерским кластером. NetSupport Manager, хотя и является законным инструментом администрирования, был перепрофилирован различными хакерскими группами, включая FIN7 и STORM-0408, в троянскую программу удаленного доступа, что подчеркивает ее распространенность в незаконной деятельности. Эта кампания основана на обмане пользователей и многоэтапных стратегиях выполнения, которые, по-видимому, призваны повысить устойчивость к обнаружению и реагированию со стороны служб безопасности.

#ParsedReport #CompletenessHigh
04-06-2025

Activity of the Phamtomcore group in May 2025

https://www.f6.ru/blog/traces-of-phantomcore/

Report completeness: High

Actors/Campaigns:
Phantomcore

Threats:
Phantomcore
Phantomrat
Phantomdl
Sliver_c2_tool
Statrat
Procmon_tool
Upx_tool

Industry:
Energy

Geo:
Russian, Moscow, Belarusian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1053.005, T1057, T1059.001, T1070.004, T1071.001, T1083, T1105, T1112, have more...

IOCs:
File: 30
Hash: 20
Domain: 21
Command: 4
Path: 3
Coin: 1
Url: 11
IP: 2

Soft:
Curl, Windows Defender

Algorithms:
zip, md5, sha1

Win API:
ISDebuggerPResent

Languages:
powershell, golang, php

Platforms:
amd64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Phantomcore нацелена на российские и белорусские организации, переходя от кражи данных к тактике, ориентированной на шифрование. Их недавние атаки включают рассылку вредоносных электронных рассылок по электронной почте с использованием Phantomecore.greqbackdoor v.2, который поддерживает связь C2 и использует расширенные возможности RAT. Сложность операционной деятельности группы, включая стратегическую координацию доменов и наличие нескольких серверов C2, создает серьезные проблемы для защиты от кибербезопасности.
-----

Phantomcore, хакерская группировка, нацеленная на российские и белорусские организации, за последние годы продемонстрировала последовательную эволюцию в своих методологиях атак и наборах инструментов. Совсем недавно, 5 мая 2025 года, группа использовала тактику рассылки вредоносных электронных рассылок, которые были обнаружены и заблокированы системой защиты деловой электронной почты F6. Эти электронные письма, отправленные со взломанных доменов, содержали вложения, предназначенные для выполнения полезной нагрузки при открытии. Примечательной особенностью было включение исполняемого файла, замаскированного под ZIP-архив. Ранее Phantomcore поставлял подобные вредоносные программы, упакованные в LNK-файлы в ZIP-архивах, но этот новейший подход упростил метод доставки до исполняемого вложения без дополнительных уровней запутывания.

Исполняемый файл с именем "Documents_nu_racons" при запуске инициировал загрузку программы для чтения PDF-файлов вместе с Phantomecore.greqbackdoor v.2, которая взаимодействует с сервером управления (C2), расположенным в 195.58.54.39:80. Эволюция этого вредоносного ПО свидетельствует о продолжающейся разработке Phantomcore проприетарного вредоносного программного обеспечения, которое со временем переходит от методов кражи данных к тактике шифрования с целью получения финансовой выгоды. Примечательно, что Phantomecore.greqbackdoor v.2 представляет собой обновленную версию, которая отражает адаптивный подход группы к использованию новых уязвимостей и совершенствованию своих операционных методологий.

Кроме того, ранее в 2024 году был обнаружен вариант, известный как "Semple Phantomrat", который раскрывает еще один уровень работы Phantomcore. В данном случае вредоносная программа была идентифицирована как дроппер, который использовал дополнительных вредоносных исполнителей, способных к удаленному доступу, называемых STATRAT. Этот RAT позволял обрабатывать команды сервера, выполнять очистку системных данных и управлять скрытыми файловыми операциями. Внедрение механизма таймера позволило осуществлять периодическую связь с инфраструктурой C2, что повысило устойчивость системы на зараженных компьютерах.

Кроме того, координация действий группы при регистрации доменов позволяет предположить наличие сплоченной операционной структуры. Выявление множества связанных серверов C2, связанных с этими атаками, не только подчеркивает их тактическую структуру сети, но и создает постоянные проблемы для защиты кибербезопасности. Учитывая эту сложную инфраструктуру в сочетании с различными вариантами вредоносного ПО, которые они используют, группа Phantomcore, вероятно, продолжит расширять свои возможности, особенно в области разработки эксплойтов и методов обхода, направленных на продление незамеченного присутствия в сетях жертв.