CTT Report Hub
#ParsedReport #CompletenessLow 04-06-2025 The Cost of a Call: From Voice Phishing to Data Extortion https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion/ Report completeness: Low Actors/Campaigns: Unc6040 (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Threat cluster UNC6040 проводит вредоносные кампании, нацеленные на Salesforce, используя социальную инженерию, чтобы обманом заставить сотрудников авторизовать вредоносное приложение, которое удаляет конфиденциальные данные. Они используют фишинг и VPN для маскировки действий, а также нацелены на другие системы, такие как Okta и Microsoft 365. Меры по смягчению последствий включают обеспечение доступа с наименьшими привилегиями, надзор за приложениями, ограничения IP-адресов и надежную реализацию MFA.
-----
Google Threat Intelligence Group (GTIG) выявила финансово мотивированный кластер угроз, известный как UNC6040, который участвует в голосовых фишинговых кампаниях, нацеленных на экземпляры Salesforce организаций. Этот хакер использует тактику социальной инженерии, чтобы выдать себя за сотрудников ИТ-службы поддержки, успешно взламывая сети, обманом заставляя сотрудников, в первую очередь в англоязычных регионах, разглашать конфиденциальные данные. Методология UNC6040 заключается в том, чтобы обманом заставить жертв авторизовать вредоносное подключенное приложение, модифицированную версию загрузчика данных Salesforce, которая предоставляет злоумышленникам широкий доступ к конфиденциальным данным.
Основной целью атаки является направление жертв посредством телефонных звонков на страницу настройки приложения Salesforce connected app для авторизации мошеннического приложения. Это действие предоставляет UNC6040 возможности запрашивать и извлекать данные из скомпрометированных сред Salesforce. Кампания подчеркивает продолжающуюся тенденцию, когда хакеры специально нацеливаются на ИТ-персонал, чтобы получить доступ к ценной корпоративной информации. После первоначального взлома было замечено, что злоумышленники перемещаются по сетям, извлекая данные из других систем, включая Okta и Microsoft 365.
UNC6040 также использует фишинговую инфраструктуру, которая включает панель управления для Okta, что еще больше упрощает их операции по краже данных за счет прямого получения учетных данных пользователей и кодов многофакторной аутентификации (MFA). Их оперативная тактика заключается в использовании VPN-сервисов, таких как Mullvad, для маскировки своей деятельности. Модели, наблюдаемые в их деятельности, имеют сходство с другими хакерскими группами, что указывает на более широкие связи внутри финансово мотивированных сообществ киберпреступников.
В ответ на эти угрозы GTIG предлагает несколько стратегий защиты от атак социальной инженерии, подобных тем, которые были реализованы в UNC6040. Организациям рекомендуется применять принцип наименьших привилегий в отношении инструментов доступа к данным, таких как Data Loader, ограничивая права доступа только основными пользователями. Крайне важен строгий надзор за подключенными приложениями, включая ограничение полномочий и создание процедур утверждения приложений, чтобы предотвратить внедрение вредоносного программного обеспечения.
Применение ограничений по IP-адресам для управления точками доступа еще больше усиливает защиту от попыток несанкционированного доступа. Кроме того, использование расширенных функций безопасности в системе Salesforce, таких как Salesforce Shield, позволяет улучшить мониторинг и получать оповещения в режиме реального времени о необычных действиях, а надежное внедрение MFA гарантирует, что даже при использовании тактик социальной инженерии будет обеспечен дополнительный уровень защиты от несанкционированного использования. Регулярные обзоры руководящих принципов и практик обеспечения безопасности необходимы для поддержания надежной защиты от таких целенаправленных кампаний по вымогательству.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Threat cluster UNC6040 проводит вредоносные кампании, нацеленные на Salesforce, используя социальную инженерию, чтобы обманом заставить сотрудников авторизовать вредоносное приложение, которое удаляет конфиденциальные данные. Они используют фишинг и VPN для маскировки действий, а также нацелены на другие системы, такие как Okta и Microsoft 365. Меры по смягчению последствий включают обеспечение доступа с наименьшими привилегиями, надзор за приложениями, ограничения IP-адресов и надежную реализацию MFA.
-----
Google Threat Intelligence Group (GTIG) выявила финансово мотивированный кластер угроз, известный как UNC6040, который участвует в голосовых фишинговых кампаниях, нацеленных на экземпляры Salesforce организаций. Этот хакер использует тактику социальной инженерии, чтобы выдать себя за сотрудников ИТ-службы поддержки, успешно взламывая сети, обманом заставляя сотрудников, в первую очередь в англоязычных регионах, разглашать конфиденциальные данные. Методология UNC6040 заключается в том, чтобы обманом заставить жертв авторизовать вредоносное подключенное приложение, модифицированную версию загрузчика данных Salesforce, которая предоставляет злоумышленникам широкий доступ к конфиденциальным данным.
Основной целью атаки является направление жертв посредством телефонных звонков на страницу настройки приложения Salesforce connected app для авторизации мошеннического приложения. Это действие предоставляет UNC6040 возможности запрашивать и извлекать данные из скомпрометированных сред Salesforce. Кампания подчеркивает продолжающуюся тенденцию, когда хакеры специально нацеливаются на ИТ-персонал, чтобы получить доступ к ценной корпоративной информации. После первоначального взлома было замечено, что злоумышленники перемещаются по сетям, извлекая данные из других систем, включая Okta и Microsoft 365.
UNC6040 также использует фишинговую инфраструктуру, которая включает панель управления для Okta, что еще больше упрощает их операции по краже данных за счет прямого получения учетных данных пользователей и кодов многофакторной аутентификации (MFA). Их оперативная тактика заключается в использовании VPN-сервисов, таких как Mullvad, для маскировки своей деятельности. Модели, наблюдаемые в их деятельности, имеют сходство с другими хакерскими группами, что указывает на более широкие связи внутри финансово мотивированных сообществ киберпреступников.
В ответ на эти угрозы GTIG предлагает несколько стратегий защиты от атак социальной инженерии, подобных тем, которые были реализованы в UNC6040. Организациям рекомендуется применять принцип наименьших привилегий в отношении инструментов доступа к данным, таких как Data Loader, ограничивая права доступа только основными пользователями. Крайне важен строгий надзор за подключенными приложениями, включая ограничение полномочий и создание процедур утверждения приложений, чтобы предотвратить внедрение вредоносного программного обеспечения.
Применение ограничений по IP-адресам для управления точками доступа еще больше усиливает защиту от попыток несанкционированного доступа. Кроме того, использование расширенных функций безопасности в системе Salesforce, таких как Salesforce Shield, позволяет улучшить мониторинг и получать оповещения в режиме реального времени о необычных действиях, а надежное внедрение MFA гарантирует, что даже при использовании тактик социальной инженерии будет обеспечен дополнительный уровень защиты от несанкционированного использования. Регулярные обзоры руководящих принципов и практик обеспечения безопасности необходимы для поддержания надежной защиты от таких целенаправленных кампаний по вымогательству.
#ParsedReport #CompletenessLow
04-06-2025
Hello, Operator? A Technical Analysis of Vishing Threats
https://cloud.google.com/blog/topics/threat-intelligence/technical-analysis-vishing-threats/
Report completeness: Low
Actors/Campaigns:
0ktapus
Unc6040 (motivation: financially_motivated)
Threats:
Sim_swapping_technique
Divulge_stealer
Roadrecon_tool
Mfa_bombing_technique
Victims:
Corporate service desks, Employees, Organizations
ChatGPT TTPs:
T1078, T1078.002, T1081, T1110, T1111, T1486, T1556.003, T1566.001, T1589, T1596, have more...
Links:
04-06-2025
Hello, Operator? A Technical Analysis of Vishing Threats
https://cloud.google.com/blog/topics/threat-intelligence/technical-analysis-vishing-threats/
Report completeness: Low
Actors/Campaigns:
0ktapus
Unc6040 (motivation: financially_motivated)
Threats:
Sim_swapping_technique
Divulge_stealer
Roadrecon_tool
Mfa_bombing_technique
Victims:
Corporate service desks, Employees, Organizations
ChatGPT TTPs:
do not use without manual checkT1078, T1078.002, T1081, T1110, T1111, T1486, T1556.003, T1566.001, T1589, T1596, have more...
Links:
https://github.com/dirkjanm/ROADtools/tree/master/roadreconGoogle Cloud Blog
Hello, Operator? A Technical Analysis of Vishing Threats | Google Cloud Blog
Details on the voice phishing (vishing) threat, and strategic recommendations and best practices to stay ahead of it.
CTT Report Hub
#ParsedReport #CompletenessLow 04-06-2025 Hello, Operator? A Technical Analysis of Vishing Threats https://cloud.google.com/blog/topics/threat-intelligence/technical-analysis-vishing-threats/ Report completeness: Low Actors/Campaigns: 0ktapus Unc6040 (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
хакеры, такие как UNC3944 и UNC6040, используют вишинг для манипулирования сотрудниками с целью раскрытия конфиденциальной информации, что способствует таким атакам, как подмена SIM-карты и кража данных. Организациям следует внедрять надежные меры защиты от мошенничества и проводить обучение по выявлению попыток социальной инженерии, чтобы усилить защиту от этих тактик.
-----
Социальная инженерия, особенно в форме голосовых мошенничеств, известных как "вишинг", стала известной тактикой, используемой финансово мотивированными хакерами для получения первоначального доступа к организациям. Эти злоумышленники используют уязвимые места человека, такие как доверие и желание быть полезными, используя методы манипулирования людьми с целью разглашения конфиденциальной информации или совершения несанкционированных действий. Ключевой игрок в этой области, зарегистрированный как UNC3944 (также известный как “Рассеянный паук”), использовал vishing для выдачи себя за сотрудников и использования корпоративных служб поддержки для сброса учетных данных и многофакторной аутентификации (MFA). Этот доступ позволяет осуществлять последующие атаки, включая замену SIM-карты, внедрение программ-вымогателей и кражу данных.
Аналогичным образом, другой участник, идентифицированный как UNC6040, использует особый подход к мошенничеству. Их операторы выдают себя за службы ИТ-поддержки с целью обманом заставить сотрудников авторизовать вредоносное приложение, подключенное к Salesforce, что приводит к крупномасштабной утечке данных из среды жертвы. Оба участника подчеркивают разнообразие рисков, с которыми сталкиваются организации, поскольку один фокусируется на захвате аккаунтов и расширении доступа, в то время как другой сосредотачивается на целенаправленной краже данных системы управления взаимоотношениями с клиентами (CRM).
Для эффективной защиты от подобной тактики организации должны осознавать важность тщательной разведки, проводимой злоумышленниками, которая повышает доверие к попыткам социальной инженерии и их успешность. Как только выявляется уязвимое место, например номер службы поддержки, злоумышленники могут подделывать звонки, выдавая себя за законную службу ИТ-поддержки, особенно если нет установленных протоколов для проверки входящих вызовов.
Для устранения этих угроз важно внедрить надежные методы MFA на всех уязвимых интернет-порталах. Организациям рекомендуется стандартизировать решения MFA, исключив такие слабые методы, как SMS или голосовые вызовы, которые особенно уязвимы для вишинг-атак. Внедрение методов защиты от фишинга, таких как ключи безопасности FIDO2, и тщательное обучение сотрудников голосовым угрозам укрепят систему защиты. Регулярные симуляции фишинга, включая сценарии вишинга, могут помочь сотрудникам распознавать распространенные предлоги и уделять особое внимание протоколам проверки при неожиданных запросах конфиденциальной информации.
Наконец, использование технологий управления информацией о безопасности и событиях (SIEM) и координации, автоматизации и реагирования на них (SOAR) может помочь отслеживать активность пользователей и взаимодействие с service desk. Это позволяет организациям создавать оповещения о подозрительных действиях, связанных со сбросом пароля, регистрацией MFA и необычными попытками входа в систему. Упреждающее расследование любых помеченных действий имеет решающее значение для поддержания целостности безопасности в корпоративных сетях. Понимание этих хакерских приемов и принятие превентивных мер повысят устойчивость организации к растущей угрозе, исходящей от социальной инженерии на основе голоса.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
хакеры, такие как UNC3944 и UNC6040, используют вишинг для манипулирования сотрудниками с целью раскрытия конфиденциальной информации, что способствует таким атакам, как подмена SIM-карты и кража данных. Организациям следует внедрять надежные меры защиты от мошенничества и проводить обучение по выявлению попыток социальной инженерии, чтобы усилить защиту от этих тактик.
-----
Социальная инженерия, особенно в форме голосовых мошенничеств, известных как "вишинг", стала известной тактикой, используемой финансово мотивированными хакерами для получения первоначального доступа к организациям. Эти злоумышленники используют уязвимые места человека, такие как доверие и желание быть полезными, используя методы манипулирования людьми с целью разглашения конфиденциальной информации или совершения несанкционированных действий. Ключевой игрок в этой области, зарегистрированный как UNC3944 (также известный как “Рассеянный паук”), использовал vishing для выдачи себя за сотрудников и использования корпоративных служб поддержки для сброса учетных данных и многофакторной аутентификации (MFA). Этот доступ позволяет осуществлять последующие атаки, включая замену SIM-карты, внедрение программ-вымогателей и кражу данных.
Аналогичным образом, другой участник, идентифицированный как UNC6040, использует особый подход к мошенничеству. Их операторы выдают себя за службы ИТ-поддержки с целью обманом заставить сотрудников авторизовать вредоносное приложение, подключенное к Salesforce, что приводит к крупномасштабной утечке данных из среды жертвы. Оба участника подчеркивают разнообразие рисков, с которыми сталкиваются организации, поскольку один фокусируется на захвате аккаунтов и расширении доступа, в то время как другой сосредотачивается на целенаправленной краже данных системы управления взаимоотношениями с клиентами (CRM).
Для эффективной защиты от подобной тактики организации должны осознавать важность тщательной разведки, проводимой злоумышленниками, которая повышает доверие к попыткам социальной инженерии и их успешность. Как только выявляется уязвимое место, например номер службы поддержки, злоумышленники могут подделывать звонки, выдавая себя за законную службу ИТ-поддержки, особенно если нет установленных протоколов для проверки входящих вызовов.
Для устранения этих угроз важно внедрить надежные методы MFA на всех уязвимых интернет-порталах. Организациям рекомендуется стандартизировать решения MFA, исключив такие слабые методы, как SMS или голосовые вызовы, которые особенно уязвимы для вишинг-атак. Внедрение методов защиты от фишинга, таких как ключи безопасности FIDO2, и тщательное обучение сотрудников голосовым угрозам укрепят систему защиты. Регулярные симуляции фишинга, включая сценарии вишинга, могут помочь сотрудникам распознавать распространенные предлоги и уделять особое внимание протоколам проверки при неожиданных запросах конфиденциальной информации.
Наконец, использование технологий управления информацией о безопасности и событиях (SIEM) и координации, автоматизации и реагирования на них (SOAR) может помочь отслеживать активность пользователей и взаимодействие с service desk. Это позволяет организациям создавать оповещения о подозрительных действиях, связанных со сбросом пароля, регистрацией MFA и необычными попытками входа в систему. Упреждающее расследование любых помеченных действий имеет решающее значение для поддержания целостности безопасности в корпоративных сетях. Понимание этих хакерских приемов и принятие превентивных мер повысят устойчивость организации к растущей угрозе, исходящей от социальной инженерии на основе голоса.
#ParsedReport #CompletenessMedium
04-06-2025
How Threat Actors Exploit Human Trust: A Breakdown of the 'Prove You Are Human' Malware Scheme
https://dti.domaintools.com/how-threat-actors-exploit-human-trust/
Report completeness: Medium
Actors/Campaigns:
Carbanak
Storm-0408
Threats:
Netsupportmanager_rat
Fakecaptcha_technique
Socgholish_loader
ChatGPT TTPs:
T1027, T1056.003, T1059.001, T1071.001, T1105, T1140, T1192, T1204.001, T1547.001, T1566.002, have more...
IOCs:
Domain: 60
Url: 11
File: 6
Hash: 17
IP: 6
Soft:
Windows Registry, Discord
Algorithms:
7zip, zip
Languages:
php, powershell
Links:
04-06-2025
How Threat Actors Exploit Human Trust: A Breakdown of the 'Prove You Are Human' Malware Scheme
https://dti.domaintools.com/how-threat-actors-exploit-human-trust/
Report completeness: Medium
Actors/Campaigns:
Carbanak
Storm-0408
Threats:
Netsupportmanager_rat
Fakecaptcha_technique
Socgholish_loader
ChatGPT TTPs:
do not use without manual checkT1027, T1056.003, T1059.001, T1071.001, T1105, T1140, T1192, T1204.001, T1547.001, T1566.002, have more...
IOCs:
Domain: 60
Url: 11
File: 6
Hash: 17
IP: 6
Soft:
Windows Registry, Discord
Algorithms:
7zip, zip
Languages:
php, powershell
Links:
https://github.com/3ls3if/Cybersecurity-Notes/blob/main/readme/social-engineering/clipboard-hijacking-post.mdhttps://github.com/DomainTools/SecuritySnacks/blob/main/2025/Prove-You-Are-Human.csvDomainTools Investigations | DTI
How Threat Actors Exploit Human Trust: A Breakdown of the 'Prove You Are Human' Malware Scheme - DomainTools Investigations | DTI
A sophisticated malware campaign exploits fake CAPTCHAs and document verification pages to deliver NetSupport RAT via multi-stage PowerShell scripts.
CTT Report Hub
#ParsedReport #CompletenessMedium 04-06-2025 How Threat Actors Exploit Human Trust: A Breakdown of the 'Prove You Are Human' Malware Scheme https://dti.domaintools.com/how-threat-actors-exploit-human-trust/ Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания использует поддельные Gitcodes и сайты Docusign, чтобы обманом заставить пользователей запускать вредоносные сценарии PowerShell, что приводит к установке NetSupport RAT. Методы включают в себя отравление буфера обмена, многоступенчатые процессы загрузки и использование кодировки ROT13 для обфускации, что связано с хакерским кластером SocGholish.
-----
В этом отчете описывается вредоносная кампания, которая использует мошеннические веб-сайты, в частности поддельные Git-коды и поддельные страницы подтверждения Docusign, чтобы ввести пользователей в заблуждение и заставить их выполнять вредоносные сценарии PowerShell в своих системах Windows. Жертв обманом заставляют скопировать и запустить эти скрипты с помощью командной строки Windows, которая запускает многоуровневый процесс загрузки, приводящий к установке NetSupport RAT (троян удаленного доступа).
На веб-сайтах Gitcodes были обнаружены вредоносные скрипты PowerShell, облегчающие загрузку дополнительных скриптов. Исходный скрипт извлекает скрипт PowerShell второго этапа, который, в свою очередь, выполняет функцию загрузчика, отправляя несколько веб-запросов для получения скриптов третьего этапа из различных доменов. Эта цепочка запросов в конечном итоге приводит к тому, что на скомпрометированном компьютере выполняется запрос NetSupport RAT. Сайт Gitcodes, о котором идет речь, под названием "Gitcodes - инструмент для вставки # 1 с 2002 года!", был заполнен скриптом PowerShell, предназначенным для запутывания процесса сбора доменов и обеспечения устойчивости вредоносного ПО путем изменения системного реестра, чтобы обеспечить автоматический запуск RAT при входе пользователя в систему.
В ходе кампании также были выявлены дополнительные домены, включая поддельные веб-сайты Docusign, на которых аналогичным образом использовались многоэтапные программы загрузки скриптов. Вредоносная функция наиболее заметна в "docusign.sa.com/verification/s.php", где содержимое страницы изначально закодировано в ROT13, чтобы избежать обнаружения. Эта страница имитирует проверку с помощью CAPTCHA и после взаимодействия с пользователем запускает атаку, связанную с заражением буфера обмена, копируя вредоносный скрипт PowerShell в буфер обмена пользователя. Это побуждает жертву вставить скопированную строку в приглашение запуска Windows, запустив, таким образом, другой загрузчик PowerShell.
Атака с помощью буфера обмена инициирует последовательность действий, включающих проверки с помощью сервера управления и переписки (C2). После активации процесс извлекает, разархивирует и выполняет окончательную загрузку под названием "jp2launcher.exe", что приводит к установке NetSupport RAT на взломанный компьютер. Попытки фишинга по электронной почте и в социальных сетях, вероятно, использовались для распространения поддельного веб-сайта Docusign.
Несмотря на то, что кодировка ROT13 обеспечивает уровень обфускации, в отчете указывается, что во вредоносном коде присутствуют обнаруживаемые шаблоны, такие как согласованные строки и комментарии в PHP-скриптах, позволяющие осуществлять уникальную идентификацию. Анализ выявил использование схожих методов и закономерностей, которые согласуются с ранее сообщавшимися действиями, связанными с SocGholish, известным хакерским кластером. NetSupport Manager, хотя и является законным инструментом администрирования, был перепрофилирован различными хакерскими группами, включая FIN7 и STORM-0408, в троянскую программу удаленного доступа, что подчеркивает ее распространенность в незаконной деятельности. Эта кампания основана на обмане пользователей и многоэтапных стратегиях выполнения, которые, по-видимому, призваны повысить устойчивость к обнаружению и реагированию со стороны служб безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания использует поддельные Gitcodes и сайты Docusign, чтобы обманом заставить пользователей запускать вредоносные сценарии PowerShell, что приводит к установке NetSupport RAT. Методы включают в себя отравление буфера обмена, многоступенчатые процессы загрузки и использование кодировки ROT13 для обфускации, что связано с хакерским кластером SocGholish.
-----
В этом отчете описывается вредоносная кампания, которая использует мошеннические веб-сайты, в частности поддельные Git-коды и поддельные страницы подтверждения Docusign, чтобы ввести пользователей в заблуждение и заставить их выполнять вредоносные сценарии PowerShell в своих системах Windows. Жертв обманом заставляют скопировать и запустить эти скрипты с помощью командной строки Windows, которая запускает многоуровневый процесс загрузки, приводящий к установке NetSupport RAT (троян удаленного доступа).
На веб-сайтах Gitcodes были обнаружены вредоносные скрипты PowerShell, облегчающие загрузку дополнительных скриптов. Исходный скрипт извлекает скрипт PowerShell второго этапа, который, в свою очередь, выполняет функцию загрузчика, отправляя несколько веб-запросов для получения скриптов третьего этапа из различных доменов. Эта цепочка запросов в конечном итоге приводит к тому, что на скомпрометированном компьютере выполняется запрос NetSupport RAT. Сайт Gitcodes, о котором идет речь, под названием "Gitcodes - инструмент для вставки # 1 с 2002 года!", был заполнен скриптом PowerShell, предназначенным для запутывания процесса сбора доменов и обеспечения устойчивости вредоносного ПО путем изменения системного реестра, чтобы обеспечить автоматический запуск RAT при входе пользователя в систему.
В ходе кампании также были выявлены дополнительные домены, включая поддельные веб-сайты Docusign, на которых аналогичным образом использовались многоэтапные программы загрузки скриптов. Вредоносная функция наиболее заметна в "docusign.sa.com/verification/s.php", где содержимое страницы изначально закодировано в ROT13, чтобы избежать обнаружения. Эта страница имитирует проверку с помощью CAPTCHA и после взаимодействия с пользователем запускает атаку, связанную с заражением буфера обмена, копируя вредоносный скрипт PowerShell в буфер обмена пользователя. Это побуждает жертву вставить скопированную строку в приглашение запуска Windows, запустив, таким образом, другой загрузчик PowerShell.
Атака с помощью буфера обмена инициирует последовательность действий, включающих проверки с помощью сервера управления и переписки (C2). После активации процесс извлекает, разархивирует и выполняет окончательную загрузку под названием "jp2launcher.exe", что приводит к установке NetSupport RAT на взломанный компьютер. Попытки фишинга по электронной почте и в социальных сетях, вероятно, использовались для распространения поддельного веб-сайта Docusign.
Несмотря на то, что кодировка ROT13 обеспечивает уровень обфускации, в отчете указывается, что во вредоносном коде присутствуют обнаруживаемые шаблоны, такие как согласованные строки и комментарии в PHP-скриптах, позволяющие осуществлять уникальную идентификацию. Анализ выявил использование схожих методов и закономерностей, которые согласуются с ранее сообщавшимися действиями, связанными с SocGholish, известным хакерским кластером. NetSupport Manager, хотя и является законным инструментом администрирования, был перепрофилирован различными хакерскими группами, включая FIN7 и STORM-0408, в троянскую программу удаленного доступа, что подчеркивает ее распространенность в незаконной деятельности. Эта кампания основана на обмане пользователей и многоэтапных стратегиях выполнения, которые, по-видимому, призваны повысить устойчивость к обнаружению и реагированию со стороны служб безопасности.
#ParsedReport #CompletenessHigh
04-06-2025
Activity of the Phamtomcore group in May 2025
https://www.f6.ru/blog/traces-of-phantomcore/
Report completeness: High
Actors/Campaigns:
Phantomcore
Threats:
Phantomcore
Phantomrat
Phantomdl
Sliver_c2_tool
Statrat
Procmon_tool
Upx_tool
Industry:
Energy
Geo:
Russian, Moscow, Belarusian
ChatGPT TTPs:
T1005, T1027, T1053.005, T1057, T1059.001, T1070.004, T1071.001, T1083, T1105, T1112, have more...
IOCs:
File: 30
Hash: 20
Domain: 21
Command: 4
Path: 3
Coin: 1
Url: 11
IP: 2
Soft:
Curl, Windows Defender
Algorithms:
zip, md5, sha1
Win API:
ISDebuggerPResent
Languages:
powershell, golang, php
Platforms:
amd64
04-06-2025
Activity of the Phamtomcore group in May 2025
https://www.f6.ru/blog/traces-of-phantomcore/
Report completeness: High
Actors/Campaigns:
Phantomcore
Threats:
Phantomcore
Phantomrat
Phantomdl
Sliver_c2_tool
Statrat
Procmon_tool
Upx_tool
Industry:
Energy
Geo:
Russian, Moscow, Belarusian
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1053.005, T1057, T1059.001, T1070.004, T1071.001, T1083, T1105, T1112, have more...
IOCs:
File: 30
Hash: 20
Domain: 21
Command: 4
Path: 3
Coin: 1
Url: 11
IP: 2
Soft:
Curl, Windows Defender
Algorithms:
zip, md5, sha1
Win API:
ISDebuggerPResent
Languages:
powershell, golang, php
Platforms:
amd64
F6
Отпечатки прошлого: F6 исследовала новые и ранее неизвестные активности группы PhantomCore - F6
Специалисты F6 выяснили, как менялись инструменты и цели атак PhantomCore: если вначале это были кража, повреждение и уничтожение данных, то к 2024 году фокус сместился на шифрование инфраструктур жертв и получение финансовой выгоды.
CTT Report Hub
#ParsedReport #CompletenessHigh 04-06-2025 Activity of the Phamtomcore group in May 2025 https://www.f6.ru/blog/traces-of-phantomcore/ Report completeness: High Actors/Campaigns: Phantomcore Threats: Phantomcore Phantomrat Phantomdl Sliver_c2_tool Statrat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Phantomcore нацелена на российские и белорусские организации, переходя от кражи данных к тактике, ориентированной на шифрование. Их недавние атаки включают рассылку вредоносных электронных рассылок по электронной почте с использованием Phantomecore.greqbackdoor v.2, который поддерживает связь C2 и использует расширенные возможности RAT. Сложность операционной деятельности группы, включая стратегическую координацию доменов и наличие нескольких серверов C2, создает серьезные проблемы для защиты от кибербезопасности.
-----
Phantomcore, хакерская группировка, нацеленная на российские и белорусские организации, за последние годы продемонстрировала последовательную эволюцию в своих методологиях атак и наборах инструментов. Совсем недавно, 5 мая 2025 года, группа использовала тактику рассылки вредоносных электронных рассылок, которые были обнаружены и заблокированы системой защиты деловой электронной почты F6. Эти электронные письма, отправленные со взломанных доменов, содержали вложения, предназначенные для выполнения полезной нагрузки при открытии. Примечательной особенностью было включение исполняемого файла, замаскированного под ZIP-архив. Ранее Phantomcore поставлял подобные вредоносные программы, упакованные в LNK-файлы в ZIP-архивах, но этот новейший подход упростил метод доставки до исполняемого вложения без дополнительных уровней запутывания.
Исполняемый файл с именем "Documents_nu_racons" при запуске инициировал загрузку программы для чтения PDF-файлов вместе с Phantomecore.greqbackdoor v.2, которая взаимодействует с сервером управления (C2), расположенным в 195.58.54.39:80. Эволюция этого вредоносного ПО свидетельствует о продолжающейся разработке Phantomcore проприетарного вредоносного программного обеспечения, которое со временем переходит от методов кражи данных к тактике шифрования с целью получения финансовой выгоды. Примечательно, что Phantomecore.greqbackdoor v.2 представляет собой обновленную версию, которая отражает адаптивный подход группы к использованию новых уязвимостей и совершенствованию своих операционных методологий.
Кроме того, ранее в 2024 году был обнаружен вариант, известный как "Semple Phantomrat", который раскрывает еще один уровень работы Phantomcore. В данном случае вредоносная программа была идентифицирована как дроппер, который использовал дополнительных вредоносных исполнителей, способных к удаленному доступу, называемых STATRAT. Этот RAT позволял обрабатывать команды сервера, выполнять очистку системных данных и управлять скрытыми файловыми операциями. Внедрение механизма таймера позволило осуществлять периодическую связь с инфраструктурой C2, что повысило устойчивость системы на зараженных компьютерах.
Кроме того, координация действий группы при регистрации доменов позволяет предположить наличие сплоченной операционной структуры. Выявление множества связанных серверов C2, связанных с этими атаками, не только подчеркивает их тактическую структуру сети, но и создает постоянные проблемы для защиты кибербезопасности. Учитывая эту сложную инфраструктуру в сочетании с различными вариантами вредоносного ПО, которые они используют, группа Phantomcore, вероятно, продолжит расширять свои возможности, особенно в области разработки эксплойтов и методов обхода, направленных на продление незамеченного присутствия в сетях жертв.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Phantomcore нацелена на российские и белорусские организации, переходя от кражи данных к тактике, ориентированной на шифрование. Их недавние атаки включают рассылку вредоносных электронных рассылок по электронной почте с использованием Phantomecore.greqbackdoor v.2, который поддерживает связь C2 и использует расширенные возможности RAT. Сложность операционной деятельности группы, включая стратегическую координацию доменов и наличие нескольких серверов C2, создает серьезные проблемы для защиты от кибербезопасности.
-----
Phantomcore, хакерская группировка, нацеленная на российские и белорусские организации, за последние годы продемонстрировала последовательную эволюцию в своих методологиях атак и наборах инструментов. Совсем недавно, 5 мая 2025 года, группа использовала тактику рассылки вредоносных электронных рассылок, которые были обнаружены и заблокированы системой защиты деловой электронной почты F6. Эти электронные письма, отправленные со взломанных доменов, содержали вложения, предназначенные для выполнения полезной нагрузки при открытии. Примечательной особенностью было включение исполняемого файла, замаскированного под ZIP-архив. Ранее Phantomcore поставлял подобные вредоносные программы, упакованные в LNK-файлы в ZIP-архивах, но этот новейший подход упростил метод доставки до исполняемого вложения без дополнительных уровней запутывания.
Исполняемый файл с именем "Documents_nu_racons" при запуске инициировал загрузку программы для чтения PDF-файлов вместе с Phantomecore.greqbackdoor v.2, которая взаимодействует с сервером управления (C2), расположенным в 195.58.54.39:80. Эволюция этого вредоносного ПО свидетельствует о продолжающейся разработке Phantomcore проприетарного вредоносного программного обеспечения, которое со временем переходит от методов кражи данных к тактике шифрования с целью получения финансовой выгоды. Примечательно, что Phantomecore.greqbackdoor v.2 представляет собой обновленную версию, которая отражает адаптивный подход группы к использованию новых уязвимостей и совершенствованию своих операционных методологий.
Кроме того, ранее в 2024 году был обнаружен вариант, известный как "Semple Phantomrat", который раскрывает еще один уровень работы Phantomcore. В данном случае вредоносная программа была идентифицирована как дроппер, который использовал дополнительных вредоносных исполнителей, способных к удаленному доступу, называемых STATRAT. Этот RAT позволял обрабатывать команды сервера, выполнять очистку системных данных и управлять скрытыми файловыми операциями. Внедрение механизма таймера позволило осуществлять периодическую связь с инфраструктурой C2, что повысило устойчивость системы на зараженных компьютерах.
Кроме того, координация действий группы при регистрации доменов позволяет предположить наличие сплоченной операционной структуры. Выявление множества связанных серверов C2, связанных с этими атаками, не только подчеркивает их тактическую структуру сети, но и создает постоянные проблемы для защиты кибербезопасности. Учитывая эту сложную инфраструктуру в сочетании с различными вариантами вредоносного ПО, которые они используют, группа Phantomcore, вероятно, продолжит расширять свои возможности, особенно в области разработки эксплойтов и методов обхода, направленных на продление незамеченного присутствия в сетях жертв.
#ParsedReport #CompletenessHigh
04-06-2025
AMOS Variant Distributed Via Clickfix In Spectrum-Themed Dynamic Delivery Campaign By Russian Speaking Hackers
https://www.cloudsek.com/blog/amos-variant-distributed-via-clickfix-in-spectrum-themed-dynamic-delivery-campaign-by-russian-speaking-hackers
Report completeness: High
Threats:
Amos_stealer
Clickfix_technique
Typosquatting_technique
Victims:
Spectrum
Industry:
Telco
Geo:
Russian
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1036.005, T1059.004, T1078, T1106, T1548.003, T1555.003, T1562.001, T1566.002
IOCs:
Command: 1
Url: 3
Domain: 4
File: 1
Hash: 1
Soft:
macOS, curl, Linux, sudo, Gatekeeper
Algorithms:
md5
Languages:
powershell
Platforms:
cross-platform
04-06-2025
AMOS Variant Distributed Via Clickfix In Spectrum-Themed Dynamic Delivery Campaign By Russian Speaking Hackers
https://www.cloudsek.com/blog/amos-variant-distributed-via-clickfix-in-spectrum-themed-dynamic-delivery-campaign-by-russian-speaking-hackers
Report completeness: High
Threats:
Amos_stealer
Clickfix_technique
Typosquatting_technique
Victims:
Spectrum
Industry:
Telco
Geo:
Russian
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036.005, T1059.004, T1078, T1106, T1548.003, T1555.003, T1562.001, T1566.002
IOCs:
Command: 1
Url: 3
Domain: 4
File: 1
Hash: 1
Soft:
macOS, curl, Linux, sudo, Gatekeeper
Algorithms:
md5
Languages:
powershell
Platforms:
cross-platform
Cloudsek
AMOS Variant Distributed Via Clickfix In Spectrum-Themed Dynamic Delivery Campaign By Russian Speaking Hackers | CloudSEK
CloudSEK researchers have uncovered a sophisticated campaign leveraging typo-squatted “Spectrum” domains to spread a new Atomic macOS Stealer (AMOS) variant. Disguised as a CAPTCHA verification, the attack uses dynamic payloads tailored to the victim's OS—stealing…
CTT Report Hub
#ParsedReport #CompletenessHigh 04-06-2025 AMOS Variant Distributed Via Clickfix In Spectrum-Themed Dynamic Delivery Campaign By Russian Speaking Hackers https://www.cloudsek.com/blog/amos-variant-distributed-via-clickfix-in-spectrum-themed-dynamic-delivery…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберкампания использует домены с опечатками для распространения обновленного варианта программы Atomic macOS Stealer (AMOS), предназначенной для пользователей macOS с помощью вредоносного сценария оболочки, который перехватывает системные пароли. Скрипт использует собственные команды macOS для обхода средств контроля безопасности, что подчеркивает риск взлома корпоративных учетных данных и потенциальную возможность дальнейших атак.
-----
Исследователи из CloudSEK выявили сложную киберкампанию с использованием доменов с опечатками, имитирующую Spectrum, телекоммуникационного провайдера в США, для распространения нового варианта Atomic macOS Stealer (AMOS). В этой кампании используется технология, известная как Clickfix, которая обеспечивает индивидуальную загрузку в зависимости от операционной системы жертвы. Примечательно, что пользователи macOS подвергаются атаке с помощью вредоносного сценария оболочки, предназначенного для кражи системных паролей. При выполнении этот скрипт использует собственные команды macOS для перехвата учетных данных, обхода механизмов безопасности и запуска вредоносных двоичных файлов.
Действие кампании включает в себя последовательность действий, в ходе которой жертвам предлагается нажать на "Альтернативную проверку". После нажатия команда копируется в буфер обмена, и появляется запрос, в котором пользователю предлагается немедленно выполнить сценарий оболочки через Bash. Этот скрипт поддерживает цикл запроса пароля, который постоянно запрашивает "Системный пароль" до тех пор, пока не будет введен правильный пароль. Успешная проверка пароля выполняется через службы каталогов macOS, при этом все проверенные пароли сохраняются во временном файле /tmp/.pass.
Русскоязычные комментарии, найденные в исходном коде, указывают на потенциальное участие русскоязычных киберпреступников, что указывает на целенаправленный характер разработки инфраструктуры. Механизмы доставки демонстрируют слабую логику, содержат неточности в инструкциях для пользователей Linux и Windows и включают команды PowerShell для пользовательских агентов Linux. Примечательно, что инструкции типа "Нажмите и удерживайте клавишу Windows + R" вводили в заблуждение как пользователей Windows, так и Mac.
Последствия этой кампании значительны, поскольку сбор паролей пользователей macOS может привести к компрометации корпоративных учетных данных. Злоумышленники, получающие доступ к паролям, могут проникать в корпоративные системы, виртуальные частные сети (VPN) и внутренние ресурсы, облегчая перемещение внутри организаций. Кроме того, способность вредоносного ПО использовать легальные утилиты macOS, такие как dscl, sudo и xattr, для обхода установленных средств контроля безопасности конечных точек снижает эффективность традиционных антивирусных систем или систем реагирования на обнаружение конечных точек (EDR).
Используя полученные учетные данные, злоумышленники могут совершать дальнейшие вредоносные действия, такие как продажа доступа брокерам или инициирование последующих атак, включая внедрение программ-вымогателей и утечку данных. Эта кампания подчеркивает растущую тенденцию к многоплатформенным атакам с использованием социальной инженерии, которые нацелены не только на отдельных пользователей, но и представляют серьезную угрозу для корпоративных структур. Организациям настоятельно рекомендуется проявлять повышенную бдительность в отношении подобных угроз для защиты своей инфраструктуры и конфиденциальной информации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберкампания использует домены с опечатками для распространения обновленного варианта программы Atomic macOS Stealer (AMOS), предназначенной для пользователей macOS с помощью вредоносного сценария оболочки, который перехватывает системные пароли. Скрипт использует собственные команды macOS для обхода средств контроля безопасности, что подчеркивает риск взлома корпоративных учетных данных и потенциальную возможность дальнейших атак.
-----
Исследователи из CloudSEK выявили сложную киберкампанию с использованием доменов с опечатками, имитирующую Spectrum, телекоммуникационного провайдера в США, для распространения нового варианта Atomic macOS Stealer (AMOS). В этой кампании используется технология, известная как Clickfix, которая обеспечивает индивидуальную загрузку в зависимости от операционной системы жертвы. Примечательно, что пользователи macOS подвергаются атаке с помощью вредоносного сценария оболочки, предназначенного для кражи системных паролей. При выполнении этот скрипт использует собственные команды macOS для перехвата учетных данных, обхода механизмов безопасности и запуска вредоносных двоичных файлов.
Действие кампании включает в себя последовательность действий, в ходе которой жертвам предлагается нажать на "Альтернативную проверку". После нажатия команда копируется в буфер обмена, и появляется запрос, в котором пользователю предлагается немедленно выполнить сценарий оболочки через Bash. Этот скрипт поддерживает цикл запроса пароля, который постоянно запрашивает "Системный пароль" до тех пор, пока не будет введен правильный пароль. Успешная проверка пароля выполняется через службы каталогов macOS, при этом все проверенные пароли сохраняются во временном файле /tmp/.pass.
Русскоязычные комментарии, найденные в исходном коде, указывают на потенциальное участие русскоязычных киберпреступников, что указывает на целенаправленный характер разработки инфраструктуры. Механизмы доставки демонстрируют слабую логику, содержат неточности в инструкциях для пользователей Linux и Windows и включают команды PowerShell для пользовательских агентов Linux. Примечательно, что инструкции типа "Нажмите и удерживайте клавишу Windows + R" вводили в заблуждение как пользователей Windows, так и Mac.
Последствия этой кампании значительны, поскольку сбор паролей пользователей macOS может привести к компрометации корпоративных учетных данных. Злоумышленники, получающие доступ к паролям, могут проникать в корпоративные системы, виртуальные частные сети (VPN) и внутренние ресурсы, облегчая перемещение внутри организаций. Кроме того, способность вредоносного ПО использовать легальные утилиты macOS, такие как dscl, sudo и xattr, для обхода установленных средств контроля безопасности конечных точек снижает эффективность традиционных антивирусных систем или систем реагирования на обнаружение конечных точек (EDR).
Используя полученные учетные данные, злоумышленники могут совершать дальнейшие вредоносные действия, такие как продажа доступа брокерам или инициирование последующих атак, включая внедрение программ-вымогателей и утечку данных. Эта кампания подчеркивает растущую тенденцию к многоплатформенным атакам с использованием социальной инженерии, которые нацелены не только на отдельных пользователей, но и представляют серьезную угрозу для корпоративных структур. Организациям настоятельно рекомендуется проявлять повышенную бдительность в отношении подобных угроз для защиты своей инфраструктуры и конфиденциальной информации.
#ParsedReport #CompletenessLow
04-06-2025
Ransomwareism disguised as an account password crack tool (extension, change to NS1419)
https://asec.ahnlab.com/ko/88335/
Report completeness: Low
Victims:
Security researchers, Hackers, Users looking for crack tools
ChatGPT TTPs:
T1110, T1204.002
IOCs:
File: 1
Hash: 1
Soft:
pyinstaller, MacOS, Linux
Crypto:
bitcoin
Algorithms:
aes-256, md5
Languages:
python
04-06-2025
Ransomwareism disguised as an account password crack tool (extension, change to NS1419)
https://asec.ahnlab.com/ko/88335/
Report completeness: Low
Victims:
Security researchers, Hackers, Users looking for crack tools
ChatGPT TTPs:
do not use without manual checkT1110, T1204.002
IOCs:
File: 1
Hash: 1
Soft:
pyinstaller, MacOS, Linux
Crypto:
bitcoin
Algorithms:
aes-256, md5
Languages:
python
ASEC
계정 비밀번호 크랙 도구로 위장한 랜섬웨어 주의 (확장자 .NS1419로 변경) - ASEC
AhnLab SEcurity intelligence Center(ASEC)은 최근 계정 비밀번호 크랙 도구로 위장하여 유포되는 랜섬웨어를 발견했다. 이러한 비밀번호 크랙 도구는 주로 브루트 포스(Brute Force) 공격에서 활용된다. 브루트 포스(Brute Force) 공격은 가능한 모든 조합을 무차별적으로 시도하여 올바른 비밀번호를 찾아내는 방식으로, 공격자는 시스템의 인증 절차를 반복적으로 시도해 비밀번호를 탈취하려고 한다. 이 방식은 특히 짧거나…
CTT Report Hub
#ParsedReport #CompletenessLow 04-06-2025 Ransomwareism disguised as an account password crack tool (extension, change to NS1419) https://asec.ahnlab.com/ko/88335/ Report completeness: Low Victims: Security researchers, Hackers, Users looking for crack…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новый вирус-вымогатель маскируется под инструмент для взлома паролей, используя атаки методом перебора на слабые пароли. В комплекте с PyInstaller он работает на нескольких операционных системах и использует доверие пользователей для повышения вероятности заражения.
-----
Аналитический центр безопасности Ahnlab (ASEC) выявил новый вид программ-вымогателей, который маскируется под инструмент для взлома паролей и в основном используется при атаках методом перебора. Метод перебора предполагает систематическое использование всех возможных комбинаций паролей в попытке получить несанкционированный доступ к учетным записям, что делает его особенно эффективным в борьбе со слабыми паролями. Этот метод может быть быстро реализован с помощью автоматизированных средств, что повышает его эффективность.
Программа-вымогатель работает под видом программы для восстановления пароля, что является тактикой, направленной на снижение бдительности пользователей и повышение вероятности заражения. Этот обманный метод распространения использует привычность и надежность, которые пользователи могут приписывать инструментам, часто используемым как исследователями безопасности, так и хакерами. Программа-вымогатель упакована с использованием PyInstaller, фреймворка, который преобразует скрипты Python в автономные исполняемые файлы (например, .exe), позволяя ей функционировать в различных операционных системах, включая Windows, macOS и Linux, не требуя от конечного пользователя установки Python.
Представление вредоносного программного обеспечения как законного средства взлома снижает скептицизм пользователей, поэтому людям необходимо проявлять осторожность при загрузке и установке программного обеспечения. Пользователям рекомендуется избегать использования приложений из непроверенных источников, вместо этого предпочитая устанавливать их с официальных веб-сайтов или авторитетных путей загрузки, чтобы снизить риск стать жертвой таких программ-вымогателей. Это открытие подчеркивает постоянную потребность в повышении осведомленности и совершенствовании методов обеспечения безопасности для борьбы с меняющейся тактикой, используемой киберпреступниками.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новый вирус-вымогатель маскируется под инструмент для взлома паролей, используя атаки методом перебора на слабые пароли. В комплекте с PyInstaller он работает на нескольких операционных системах и использует доверие пользователей для повышения вероятности заражения.
-----
Аналитический центр безопасности Ahnlab (ASEC) выявил новый вид программ-вымогателей, который маскируется под инструмент для взлома паролей и в основном используется при атаках методом перебора. Метод перебора предполагает систематическое использование всех возможных комбинаций паролей в попытке получить несанкционированный доступ к учетным записям, что делает его особенно эффективным в борьбе со слабыми паролями. Этот метод может быть быстро реализован с помощью автоматизированных средств, что повышает его эффективность.
Программа-вымогатель работает под видом программы для восстановления пароля, что является тактикой, направленной на снижение бдительности пользователей и повышение вероятности заражения. Этот обманный метод распространения использует привычность и надежность, которые пользователи могут приписывать инструментам, часто используемым как исследователями безопасности, так и хакерами. Программа-вымогатель упакована с использованием PyInstaller, фреймворка, который преобразует скрипты Python в автономные исполняемые файлы (например, .exe), позволяя ей функционировать в различных операционных системах, включая Windows, macOS и Linux, не требуя от конечного пользователя установки Python.
Представление вредоносного программного обеспечения как законного средства взлома снижает скептицизм пользователей, поэтому людям необходимо проявлять осторожность при загрузке и установке программного обеспечения. Пользователям рекомендуется избегать использования приложений из непроверенных источников, вместо этого предпочитая устанавливать их с официальных веб-сайтов или авторитетных путей загрузки, чтобы снизить риск стать жертвой таких программ-вымогателей. Это открытие подчеркивает постоянную потребность в повышении осведомленности и совершенствовании методов обеспечения безопасности для борьбы с меняющейся тактикой, используемой киберпреступниками.
#ParsedReport #CompletenessLow
04-06-2025
Spear Phishing in Armenia: Inside a Persistent Campaign by UNC5792
https://cyberhub.am/en/blog/2025/05/31/spear-phishing-in-armenia-inside-a-persistent-campaign-by-unc5792/
Report completeness: Low
Actors/Campaigns:
Unc5792
Threats:
Spear-phishing_technique
Victims:
Individuals, Organizations, Ngo operating in the public interest, Security analyst, Armenian electoral commission
Industry:
Ngo, Government
Geo:
Armenia
ChatGPT TTPs:
T1071.001, T1566.002, T1583.001, T1589
IOCs:
Url: 2
04-06-2025
Spear Phishing in Armenia: Inside a Persistent Campaign by UNC5792
https://cyberhub.am/en/blog/2025/05/31/spear-phishing-in-armenia-inside-a-persistent-campaign-by-unc5792/
Report completeness: Low
Actors/Campaigns:
Unc5792
Threats:
Spear-phishing_technique
Victims:
Individuals, Organizations, Ngo operating in the public interest, Security analyst, Armenian electoral commission
Industry:
Ngo, Government
Geo:
Armenia
ChatGPT TTPs:
do not use without manual checkT1071.001, T1566.002, T1583.001, T1589
IOCs:
Url: 2
CyberHUB-AM - ՏՏ աջակցություն հայաստանյան քաղհասարակությանը
Spear Phishing in Armenia: Inside a Persistent Campaign by UNC5792 - CyberHUB-AM
In early March 2025, CyberHUB-AM identified a targeted spear phishing campaign focused on individuals and organizations within Armenia’s civil society and public sector. The campaign exhibited IOCs consistent with advanced persistent threat (APT) operations…
CTT Report Hub
#ParsedReport #CompletenessLow 04-06-2025 Spear Phishing in Armenia: Inside a Persistent Campaign by UNC5792 https://cyberhub.am/en/blog/2025/05/31/spear-phishing-in-armenia-inside-a-persistent-campaign-by-unc5792/ Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В марте 2025 года UNC5792 провел фишинговую кампанию в Армении, используя Signal для заманивания целей на поддельную "информационную платформу", выдавая себя за фиктивного сотрудника Министерства промышленности высоких технологий. Злоумышленники проявили гибкость, часто меняя вредоносные URL-адреса и постоянно отслеживая свои цели, что свидетельствует о высоком уровне изощренности.
-----
В начале марта 2025 года CyberHUB-AM выявил масштабную фишинговую кампанию, направленную против отдельных лиц и организаций в гражданском обществе и государственном секторе Армении. Деятельность приписывается APT-группе, известной как UNC5792, которая ранее была связана со вредоносными действиями, оцененными Mandiant. Нападавшие использовали обманный прием, выдав себя за вымышленное лицо по имени "Армине Погосян", которое предположительно было сотрудником Министерства высокотехнологичной промышленности Армении.
Используя платформу обмена сообщениями Signal, известную своими функциями зашифрованной связи, хакеры пригласили получателей присоединиться к "информационной платформе", предназначенной для предоставления информации о политических событиях в мире и Армении. Этот подход знаменует собой переход к более безопасным каналам связи для попыток фишинга, а не к обычным методам электронной почты. Целью приманки были соответствующие деятели в секторе НПО Армении, инициативы по проведению законодательных реформ и государственные учреждения, что свидетельствовало о намерении собирать разведданные или манипулировать общественными делами.
В кампании использовались крайне вредоносные временные URL-адреса, которые в рамках своей стратегии были изменены с add-group.tech на group-add.com. Эта адаптивность была подчеркнута, когда злоумышленники предоставили новую активную вредоносную ссылку сразу после того, как узнали, что срок действия предыдущей истек, что свидетельствует о постоянном мониторинге их целей и динамическом управлении фишинговой инфраструктурой. Все выявленные домены, связанные с этой кампанией, были классифицированы VirusTotal как особо опасные, и источники из Mandiant и Google Threat Intelligence подтвердили, что они связаны с UNC5792.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В марте 2025 года UNC5792 провел фишинговую кампанию в Армении, используя Signal для заманивания целей на поддельную "информационную платформу", выдавая себя за фиктивного сотрудника Министерства промышленности высоких технологий. Злоумышленники проявили гибкость, часто меняя вредоносные URL-адреса и постоянно отслеживая свои цели, что свидетельствует о высоком уровне изощренности.
-----
В начале марта 2025 года CyberHUB-AM выявил масштабную фишинговую кампанию, направленную против отдельных лиц и организаций в гражданском обществе и государственном секторе Армении. Деятельность приписывается APT-группе, известной как UNC5792, которая ранее была связана со вредоносными действиями, оцененными Mandiant. Нападавшие использовали обманный прием, выдав себя за вымышленное лицо по имени "Армине Погосян", которое предположительно было сотрудником Министерства высокотехнологичной промышленности Армении.
Используя платформу обмена сообщениями Signal, известную своими функциями зашифрованной связи, хакеры пригласили получателей присоединиться к "информационной платформе", предназначенной для предоставления информации о политических событиях в мире и Армении. Этот подход знаменует собой переход к более безопасным каналам связи для попыток фишинга, а не к обычным методам электронной почты. Целью приманки были соответствующие деятели в секторе НПО Армении, инициативы по проведению законодательных реформ и государственные учреждения, что свидетельствовало о намерении собирать разведданные или манипулировать общественными делами.
В кампании использовались крайне вредоносные временные URL-адреса, которые в рамках своей стратегии были изменены с add-group.tech на group-add.com. Эта адаптивность была подчеркнута, когда злоумышленники предоставили новую активную вредоносную ссылку сразу после того, как узнали, что срок действия предыдущей истек, что свидетельствует о постоянном мониторинге их целей и динамическом управлении фишинговой инфраструктурой. Все выявленные домены, связанные с этой кампанией, были классифицированы VirusTotal как особо опасные, и источники из Mandiant и Google Threat Intelligence подтвердили, что они связаны с UNC5792.
#ParsedReport #CompletenessLow
04-06-2025
Malware Masquerades as Legitimate, Hidden WordPress Plugin with Remote Code Execution Capabilities
https://www.wordfence.com/blog/2025/06/malware-masquerades-as-legitimate-hidden-wordpress-plugin-with-remote-code-execution-capabilities/
Report completeness: Low
Victims:
Wordpress users, Website administrators
Industry:
E-commerce
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1078, T1505.003
IOCs:
File: 3
Soft:
WordPress
Algorithms:
base64
Functions:
wp_get_current_user, configure_cloudserver, get_cloudserver_db, custom_reporter_cookie_timer_check, custom_reporter_action, system, AJAX, my_custom_header_banner, my_plugin_enqueue_scripts
Languages:
php
04-06-2025
Malware Masquerades as Legitimate, Hidden WordPress Plugin with Remote Code Execution Capabilities
https://www.wordfence.com/blog/2025/06/malware-masquerades-as-legitimate-hidden-wordpress-plugin-with-remote-code-execution-capabilities/
Report completeness: Low
Victims:
Wordpress users, Website administrators
Industry:
E-commerce
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1078, T1505.003
IOCs:
File: 3
Soft:
WordPress
Algorithms:
base64
Functions:
wp_get_current_user, configure_cloudserver, get_cloudserver_db, custom_reporter_cookie_timer_check, custom_reporter_action, system, AJAX, my_custom_header_banner, my_plugin_enqueue_scripts
Languages:
php