#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Phantomcore нацелена на российские и белорусские организации, переходя от кражи данных к тактике, ориентированной на шифрование. Их недавние атаки включают рассылку вредоносных электронных рассылок по электронной почте с использованием Phantomecore.greqbackdoor v.2, который поддерживает связь C2 и использует расширенные возможности RAT. Сложность операционной деятельности группы, включая стратегическую координацию доменов и наличие нескольких серверов C2, создает серьезные проблемы для защиты от кибербезопасности.
-----

Phantomcore, хакерская группировка, нацеленная на российские и белорусские организации, за последние годы продемонстрировала последовательную эволюцию в своих методологиях атак и наборах инструментов. Совсем недавно, 5 мая 2025 года, группа использовала тактику рассылки вредоносных электронных рассылок, которые были обнаружены и заблокированы системой защиты деловой электронной почты F6. Эти электронные письма, отправленные со взломанных доменов, содержали вложения, предназначенные для выполнения полезной нагрузки при открытии. Примечательной особенностью было включение исполняемого файла, замаскированного под ZIP-архив. Ранее Phantomcore поставлял подобные вредоносные программы, упакованные в LNK-файлы в ZIP-архивах, но этот новейший подход упростил метод доставки до исполняемого вложения без дополнительных уровней запутывания.

Исполняемый файл с именем "Documents_nu_racons" при запуске инициировал загрузку программы для чтения PDF-файлов вместе с Phantomecore.greqbackdoor v.2, которая взаимодействует с сервером управления (C2), расположенным в 195.58.54.39:80. Эволюция этого вредоносного ПО свидетельствует о продолжающейся разработке Phantomcore проприетарного вредоносного программного обеспечения, которое со временем переходит от методов кражи данных к тактике шифрования с целью получения финансовой выгоды. Примечательно, что Phantomecore.greqbackdoor v.2 представляет собой обновленную версию, которая отражает адаптивный подход группы к использованию новых уязвимостей и совершенствованию своих операционных методологий.

Кроме того, ранее в 2024 году был обнаружен вариант, известный как "Semple Phantomrat", который раскрывает еще один уровень работы Phantomcore. В данном случае вредоносная программа была идентифицирована как дроппер, который использовал дополнительных вредоносных исполнителей, способных к удаленному доступу, называемых STATRAT. Этот RAT позволял обрабатывать команды сервера, выполнять очистку системных данных и управлять скрытыми файловыми операциями. Внедрение механизма таймера позволило осуществлять периодическую связь с инфраструктурой C2, что повысило устойчивость системы на зараженных компьютерах.

Кроме того, координация действий группы при регистрации доменов позволяет предположить наличие сплоченной операционной структуры. Выявление множества связанных серверов C2, связанных с этими атаками, не только подчеркивает их тактическую структуру сети, но и создает постоянные проблемы для защиты кибербезопасности. Учитывая эту сложную инфраструктуру в сочетании с различными вариантами вредоносного ПО, которые они используют, группа Phantomcore, вероятно, продолжит расширять свои возможности, особенно в области разработки эксплойтов и методов обхода, направленных на продление незамеченного присутствия в сетях жертв.

#ParsedReport #CompletenessHigh
04-06-2025

AMOS Variant Distributed Via Clickfix In Spectrum-Themed Dynamic Delivery Campaign By Russian Speaking Hackers

https://www.cloudsek.com/blog/amos-variant-distributed-via-clickfix-in-spectrum-themed-dynamic-delivery-campaign-by-russian-speaking-hackers

Report completeness: High

Threats:
Amos_stealer
Clickfix_technique
Typosquatting_technique

Victims:
Spectrum

Industry:
Telco

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059.004, T1078, T1106, T1548.003, T1555.003, T1562.001, T1566.002

IOCs:
Command: 1
Url: 3
Domain: 4
File: 1
Hash: 1

Soft:
macOS, curl, Linux, sudo, Gatekeeper

Algorithms:
md5

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберкампания использует домены с опечатками для распространения обновленного варианта программы Atomic macOS Stealer (AMOS), предназначенной для пользователей macOS с помощью вредоносного сценария оболочки, который перехватывает системные пароли. Скрипт использует собственные команды macOS для обхода средств контроля безопасности, что подчеркивает риск взлома корпоративных учетных данных и потенциальную возможность дальнейших атак.
-----

Исследователи из CloudSEK выявили сложную киберкампанию с использованием доменов с опечатками, имитирующую Spectrum, телекоммуникационного провайдера в США, для распространения нового варианта Atomic macOS Stealer (AMOS). В этой кампании используется технология, известная как Clickfix, которая обеспечивает индивидуальную загрузку в зависимости от операционной системы жертвы. Примечательно, что пользователи macOS подвергаются атаке с помощью вредоносного сценария оболочки, предназначенного для кражи системных паролей. При выполнении этот скрипт использует собственные команды macOS для перехвата учетных данных, обхода механизмов безопасности и запуска вредоносных двоичных файлов.

Действие кампании включает в себя последовательность действий, в ходе которой жертвам предлагается нажать на "Альтернативную проверку". После нажатия команда копируется в буфер обмена, и появляется запрос, в котором пользователю предлагается немедленно выполнить сценарий оболочки через Bash. Этот скрипт поддерживает цикл запроса пароля, который постоянно запрашивает "Системный пароль" до тех пор, пока не будет введен правильный пароль. Успешная проверка пароля выполняется через службы каталогов macOS, при этом все проверенные пароли сохраняются во временном файле /tmp/.pass.

Русскоязычные комментарии, найденные в исходном коде, указывают на потенциальное участие русскоязычных киберпреступников, что указывает на целенаправленный характер разработки инфраструктуры. Механизмы доставки демонстрируют слабую логику, содержат неточности в инструкциях для пользователей Linux и Windows и включают команды PowerShell для пользовательских агентов Linux. Примечательно, что инструкции типа "Нажмите и удерживайте клавишу Windows + R" вводили в заблуждение как пользователей Windows, так и Mac.

Последствия этой кампании значительны, поскольку сбор паролей пользователей macOS может привести к компрометации корпоративных учетных данных. Злоумышленники, получающие доступ к паролям, могут проникать в корпоративные системы, виртуальные частные сети (VPN) и внутренние ресурсы, облегчая перемещение внутри организаций. Кроме того, способность вредоносного ПО использовать легальные утилиты macOS, такие как dscl, sudo и xattr, для обхода установленных средств контроля безопасности конечных точек снижает эффективность традиционных антивирусных систем или систем реагирования на обнаружение конечных точек (EDR).

Используя полученные учетные данные, злоумышленники могут совершать дальнейшие вредоносные действия, такие как продажа доступа брокерам или инициирование последующих атак, включая внедрение программ-вымогателей и утечку данных. Эта кампания подчеркивает растущую тенденцию к многоплатформенным атакам с использованием социальной инженерии, которые нацелены не только на отдельных пользователей, но и представляют серьезную угрозу для корпоративных структур. Организациям настоятельно рекомендуется проявлять повышенную бдительность в отношении подобных угроз для защиты своей инфраструктуры и конфиденциальной информации.

#ParsedReport #CompletenessLow
04-06-2025

Ransomwareism disguised as an account password crack tool (extension, change to NS1419)

https://asec.ahnlab.com/ko/88335/

Report completeness: Low

Victims:
Security researchers, Hackers, Users looking for crack tools

ChatGPT TTPs:
do not use without manual check
T1110, T1204.002

IOCs:
File: 1
Hash: 1

Soft:
pyinstaller, MacOS, Linux

Crypto:
bitcoin

Algorithms:
aes-256, md5

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вирус-вымогатель маскируется под инструмент для взлома паролей, используя атаки методом перебора на слабые пароли. В комплекте с PyInstaller он работает на нескольких операционных системах и использует доверие пользователей для повышения вероятности заражения.
-----

Аналитический центр безопасности Ahnlab (ASEC) выявил новый вид программ-вымогателей, который маскируется под инструмент для взлома паролей и в основном используется при атаках методом перебора. Метод перебора предполагает систематическое использование всех возможных комбинаций паролей в попытке получить несанкционированный доступ к учетным записям, что делает его особенно эффективным в борьбе со слабыми паролями. Этот метод может быть быстро реализован с помощью автоматизированных средств, что повышает его эффективность.

Программа-вымогатель работает под видом программы для восстановления пароля, что является тактикой, направленной на снижение бдительности пользователей и повышение вероятности заражения. Этот обманный метод распространения использует привычность и надежность, которые пользователи могут приписывать инструментам, часто используемым как исследователями безопасности, так и хакерами. Программа-вымогатель упакована с использованием PyInstaller, фреймворка, который преобразует скрипты Python в автономные исполняемые файлы (например, .exe), позволяя ей функционировать в различных операционных системах, включая Windows, macOS и Linux, не требуя от конечного пользователя установки Python.

Представление вредоносного программного обеспечения как законного средства взлома снижает скептицизм пользователей, поэтому людям необходимо проявлять осторожность при загрузке и установке программного обеспечения. Пользователям рекомендуется избегать использования приложений из непроверенных источников, вместо этого предпочитая устанавливать их с официальных веб-сайтов или авторитетных путей загрузки, чтобы снизить риск стать жертвой таких программ-вымогателей. Это открытие подчеркивает постоянную потребность в повышении осведомленности и совершенствовании методов обеспечения безопасности для борьбы с меняющейся тактикой, используемой киберпреступниками.

#ParsedReport #CompletenessLow
04-06-2025

Spear Phishing in Armenia: Inside a Persistent Campaign by UNC5792

https://cyberhub.am/en/blog/2025/05/31/spear-phishing-in-armenia-inside-a-persistent-campaign-by-unc5792/

Report completeness: Low

Actors/Campaigns:
Unc5792

Threats:
Spear-phishing_technique

Victims:
Individuals, Organizations, Ngo operating in the public interest, Security analyst, Armenian electoral commission

Industry:
Ngo, Government

Geo:
Armenia

ChatGPT TTPs:
do not use without manual check
T1071.001, T1566.002, T1583.001, T1589

IOCs:
Url: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2025 года UNC5792 провел фишинговую кампанию в Армении, используя Signal для заманивания целей на поддельную "информационную платформу", выдавая себя за фиктивного сотрудника Министерства промышленности высоких технологий. Злоумышленники проявили гибкость, часто меняя вредоносные URL-адреса и постоянно отслеживая свои цели, что свидетельствует о высоком уровне изощренности.
-----

В начале марта 2025 года CyberHUB-AM выявил масштабную фишинговую кампанию, направленную против отдельных лиц и организаций в гражданском обществе и государственном секторе Армении. Деятельность приписывается APT-группе, известной как UNC5792, которая ранее была связана со вредоносными действиями, оцененными Mandiant. Нападавшие использовали обманный прием, выдав себя за вымышленное лицо по имени "Армине Погосян", которое предположительно было сотрудником Министерства высокотехнологичной промышленности Армении.

Используя платформу обмена сообщениями Signal, известную своими функциями зашифрованной связи, хакеры пригласили получателей присоединиться к "информационной платформе", предназначенной для предоставления информации о политических событиях в мире и Армении. Этот подход знаменует собой переход к более безопасным каналам связи для попыток фишинга, а не к обычным методам электронной почты. Целью приманки были соответствующие деятели в секторе НПО Армении, инициативы по проведению законодательных реформ и государственные учреждения, что свидетельствовало о намерении собирать разведданные или манипулировать общественными делами.

В кампании использовались крайне вредоносные временные URL-адреса, которые в рамках своей стратегии были изменены с add-group.tech на group-add.com. Эта адаптивность была подчеркнута, когда злоумышленники предоставили новую активную вредоносную ссылку сразу после того, как узнали, что срок действия предыдущей истек, что свидетельствует о постоянном мониторинге их целей и динамическом управлении фишинговой инфраструктурой. Все выявленные домены, связанные с этой кампанией, были классифицированы VirusTotal как особо опасные, и источники из Mandiant и Google Threat Intelligence подтвердили, что они связаны с UNC5792.

#ParsedReport #CompletenessLow
04-06-2025

Malware Masquerades as Legitimate, Hidden WordPress Plugin with Remote Code Execution Capabilities

https://www.wordfence.com/blog/2025/06/malware-masquerades-as-legitimate-hidden-wordpress-plugin-with-remote-code-execution-capabilities/

Report completeness: Low

Victims:
Wordpress users, Website administrators

Industry:
E-commerce

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1078, T1505.003

IOCs:
File: 3

Soft:
WordPress

Algorithms:
base64

Functions:
wp_get_current_user, configure_cloudserver, get_cloudserver_db, custom_reporter_cookie_timer_check, custom_reporter_action, system, AJAX, my_custom_header_banner, my_plugin_enqueue_scripts

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант вредоносного ПО, нацеленный на WordPress, маскируется под легальный плагин, используя методы обфускации и такие возможности, как извлечение пароля и удаленное выполнение кода. Он выполняет команды через AJAX и требует взлома учетной записи администратора для активации, что указывает на зависимость от перехватчиков WordPress.
-----

Команда Wordfence по анализу угроз выявила новый вариант вредоносного ПО, нацеленного на WordPress, предназначенный для маскировки под законный плагин, который, в частности, появляется в каталоге /wp-content/plugins/. Эта вредоносная программа содержит комментарий к заголовку, имитирующий плагин WooCommerce Product Add-ons, который служит для сокрытия ее истинной природы и придания ей достоверного вида, хотя между вредоносной программой и реальным плагином WooCommerce нет никакой связи.

В ходе расследования было обнаружено, что это вредоносное ПО обладает рядом вредоносных возможностей, включая функцию извлечения пароля и механизм удаленного выполнения кода на основе AJAX. Примечательно, что оно использует функцию отражения для выполнения команд, которая улучшает распознавание поведения вредоносного ПО. Вредоносная программа структурирована таким образом, что к ней невозможно получить прямой доступ с помощью обычных средств, таких как страница плагинов, поскольку она выполняет проверку ABSPATH и использует функцию wp_get_current_user() для проверки среды WordPress перед выполнением своих вредоносных действий.

Более того, было обнаружено, что вредоносная программа вызывает системную команду с помощью post-запроса, что позволяет выполнять несанкционированное выполнение команды. Также имеется неполная функция, указывающая на продолжающуюся работу по разработке, что позволяет предположить, что хакеры, возможно, активно совершенствуют свои возможности. Кроме того, во время того же сеанса анализа был обнаружен второй образец вредоносного ПО, который использует аналогичную тактику обхода, но, по-видимому, менее полон по своей функциональности.

Наиболее вероятной причиной распространения этой вредоносной программы является взлом учетной записи администратора, поскольку для запуска кода требуется активация плагина, что указывает на зависимость от предоставленных в WordPress перехватчиков. К сожалению, отсутствие логов во время расследования ограничивало возможность подтверждения конкретных методов проникновения. Чтобы помочь в противодействии этим новым угрозам, Wordfence выпустила сигнатуры для обнаружения этого вредоносного ПО для пользователей премиум-класса, а для бесплатных пользователей запуск был запланирован на месяц позже. Вскоре после этого было введено правило брандмауэра для повышения безопасности пользователей премиум-класса. Эволюционирующий характер вредоносного ПО указывает на необходимость постоянной бдительности и обновления мер защиты от таких изощренных атак.

#ParsedReport #CompletenessMedium
05-06-2025

DragonForce: The Ransomware Cartel Guarding Its Burrow

https://www.bitdefender.com/en-us/blog/businessinsights/dragonforce-ransomware-cartel

Report completeness: Medium

Actors/Campaigns:
Dragonforce (motivation: hacktivism, financially_motivated)

Threats:
Dragonforce_ransomware
Ransomhub
Conti
Blackcat
Mamona
Akira_ransomware
Lockbit
Dll_hijacking_technique
Timestomp_technique
Simplehelp_tool

Industry:
Education, Retail, Healthcare

Geo:
Russians, Australia, Italy, Russia, Russian

CVEs:
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1809 (<10.0.17763.5458)
- microsoft windows 10 21h2 (<10.0.19044.4046)
- microsoft windows 10 22h2 (<10.0.19045.4046)
- microsoft windows 11 21h2 (<10.0.22000.2777)
- microsoft windows 11 22h2 (<10.0.22621.3155)
have more...

TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 4
Hash: 8

Soft:
Linux, ESXi

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DragonForce, хакер-вымогатель, выявленный в конце 2023 года, действует как картель, используя российскую инфраструктуру и нацеливаясь на различные секторы. Они используют известные уязвимости (CVE-2024-21412, CVE-2024-21887, CVE-2024-21893), используя продвинутые программы-вымогатели (dragonfroce.exe ), который выполняется различными методами и поддерживает постоянство с помощью запланированных задач. Их методы включают фишинг и стратегии "жизни за счет земли" с использованием законных инструментов, в то время как они управляют сайтом утечки данных для документирования жертв.
-----

DragonForce - это хакерская программа-вымогатель, которая эволюционировала от модели "Программа-вымогатель как услуга" (RaaS) к картелю программ-вымогателей. Созданная в конце 2023 года, группа отличилась в экосистеме программ-вымогателей, развивая партнерские связи и сосредоточившись на росте операционной деятельности. Хотя ходили слухи о связях с одноименной хактивистской группой из Малайзии, текущие разведданные указывают на то, что DragonForce, занимающаяся вымогательской деятельностью, скорее всего, базируется не там.

Работая в основном с инфраструктурой, связанной с Россией, DragonForce добилась значительных успехов, заявив о более чем 120 жертвах в различных секторах, включая производство, здравоохранение и технологии, к середине 2024 года. Их требования о выкупе стратегически рассчитываются на основе доходов целевой организации, которые иногда достигают 7 миллионов долларов. Их оперативная тактика заключается в развертывании передовых программ-вымогателей, нацеленных на системы Windows, Linux и ESXi, с использованием методов динамического шифрования, адаптированных к другим методам вымогательства. Примечательно, что они усовершенствовали свои возможности шифрования, переняв опыт других успешных действий программ-вымогателей.

В схемах атак DragonForce используются различные методы первоначального доступа, включая использование известных уязвимостей (таких как CVE-2024-21412, CVE-2024-21887 и CVE-2024-21893), фишинг и раскрытие учетных данных. Их программа-вымогатель, известная как dragonfroce.exe, может быть запущена различными способами, включая команды командной оболочки Windows и перехват библиотек DLL. Кроме того, группа поддерживает работоспособность взломанных систем с помощью запланированных задач и изменений настроек сценариев PowerShell.

Используя законные административные инструменты, такие как SimpleHelp, DragonForce смогла проникнуть в сети поставщиков управляемых услуг, используя методы "жизни за пределами земли", которые используют надежные приложения для своей работы. Этот метод становится все более популярным в кибератаках, поскольку исследования показали, что значительная часть критических атак использует такие методы. Программа-вымогатель также обладает такими возможностями, как удаление файлов, отслеживание времени и обход средств защиты, что еще больше подчеркивает ее изощренность.

Группа управляет сайтом по утечке данных, документируя своих жертв и похищенные материалы. Они известны тем, что публикуют обновления и вознаграждают партнеров высокой прибылью, отмечая, что они оказывают обширную инфраструктурную поддержку своим партнерам. Эта стратегия не только укрепляет их влияние на рынок программ-вымогателей, но и помогает контролировать ресурсы и осуществлять оперативный обмен с другими преступными сетями. По мере расширения группы сохраняются опасения относительно их растущих возможностей и сохраняющихся угроз для различных секторов.

#ParsedReport #CompletenessLow
05-06-2025

How a Malicious Excel File (CVE-2017-0199) Delivers the FormBook Payload

https://www.fortinet.com/blog/threat-research/how-a-malicious-excel-file-cve-2017-0199-delivers-the-formbook-payload

Report completeness: Low

Threats:
Formbook

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-)
- microsoft windows vista (-)
have more...

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1056.001, T1071.001, T1105, T1113, T1203, T1218.005, T1497.001, T1566.001, have more...

IOCs:
File: 1
Url: 3
Hash: 5

Soft:
Microsoft Office

Algorithms:
sha256, xor, base64

Win API:
IsDebuggerPresent

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, code: 3, dump: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целью фишинговой кампании были устаревшие приложения Microsoft Office (2007-2016), использующие уязвимость CVE-2017-0199 для распространения вредоносного ПО FormBook с помощью вредоносных вложений Excel. Атака использует эксплойт OLE для запуска HTA-скрипта для загрузки полезной нагрузки, захвата конфиденциальных данных с помощью кейлоггинга и мониторинга буфера обмена.
-----

Компания FortiGuard Labs выявила масштабную фишинговую кампанию, использующую уязвимости в устаревших приложениях Microsoft Office. В частности, кампания нацелена на версии Office с 2007 по 2016 год, используя уязвимость CVE-2017-0199, которая связана с возможностями OLE (связывания и внедрения объектов) этих приложений. Основной целью этой кампании является распространение FormBook, вредоносного ПО для кражи информации, способного захватывать конфиденциальные данные, такие как учетные данные для входа в систему, нажатия клавиш и информацию из буфера обмена.

Фишинговые электронные письма, используемые в этой кампании, маскируются под заказы на продажу и содержат вредоносные вложения Excel. Когда пользователь открывает зараженный документ, он отправляет HTTP-запрос на удаленный сервер для загрузки вредоносного HTA-файла. При этом используется уязвимость CVE-2017-0199, которая приводит к загрузке и выполнению HTA-скрипта с помощью приложения Microsoft HTA (mshta.exe). Хотя официальные исправления доступны уже много лет, многие организации остаются уязвимыми из-за сбоев в обновлении программного обеспечения, несогласованного применения исправлений или неадекватных мер безопасности.

Проанализировав образцы вредоносного ПО, исследователи отметили, что вредоносное ПО FormBook встроено в запись данных ресурса с надписью "SCRIPT". Из содержания этого раздела следует, что оно может быть сгенерировано с помощью сценариев AutoIt, которые включают методы защиты от отладки с использованием IsDebuggerPresent API. Если обнаружена отладка, в примере будет просто указано, что это скомпилированный сторонними разработчиками сценарий автоматической загрузки.

Весь процесс, следующий за запуском вредоносного файла Excel, включает загрузку и выполнение команды "sihost.exe", которая впоследствии извлекает "springmaker" – промежуточную полезную нагрузку, которая в конечном итоге приводит к доставке FormBook. Последствия этой кампании серьезны, поскольку она позволяет злоумышленникам компрометировать пользовательские устройства и извлекать конфиденциальную информацию, что подчеркивает острую необходимость проявлять бдительность в отношении протоколов безопасности электронной почты и управления исправлениями программного обеспечения для устранения таких угроз.

#ParsedReport #CompletenessLow
05-06-2025

Mandiant Exposes Salesforce Phishing Campaign as Infostealer Malware Emerges as a Parallel Threat

https://www.infostealers.com/article/mandiant-exposes-salesforce-phishing-campaign-as-infostealer-malware-emerges-as-a-parallel-threat/

Report completeness: Low

Actors/Campaigns:
Gehenna

Threats:
Azorult
Lumma_stealer
Amos_stealer
Allakore_rat
Meduza
Meta_stealer
Raccoon_stealer
Redline_stealer
Stealc
Vidar_stealer

Victims:
Coca-cola, Tiffany & co., Adidas, Samsung, Royal mail, Osf digital, Tiffany employees, Adidas vendor, Salesforce users

Industry:
E-commerce

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1078, T1185, T1555.003

Soft:
Twitter, macOS

Languages:
python