#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая вредоносная программа для Android, выдающая себя за приложение "PM KISAN YOJNA", использует многоступенчатый дроппер для развертывания полезной нагрузки для кражи данных, обходя меры безопасности и предлагая пользователям включить VPN для утечки данных. Также появляется вариант под названием "Сальвадор", что указывает на постоянную эволюцию тактики хакеров.
-----

В недавних отчетах о телеметрии была обнаружена новая вредоносная программа для Android, замаскированная под официальное приложение "PM KISAN YOJNA". Эта вредоносная программа работает как дроппер, способный размещать дополнительную полезную нагрузку, которая выполняет функции перехватчика, предназначенного для извлечения конфиденциальной информации пользователя. Примечательно, что вредоносная программа использует многоступенчатую технологию дроппинга, намеренно искаженную в своей конструкции, чтобы обойти традиционные меры безопасности. Это включает в себя успешный обход методов статического анализа и декомпиляции APK, используемых такими инструментами, как Apktool и Jadx, что усложняет процесс анализа для экспертов по кибербезопасности.

После установки вредоносная программа предлагает пользователям загрузить "обновление", которое запрашивает разрешения на установку VPN-соединения. Обоснование этого запроса заключается в том, что "PM KISAN YOJNA" необходимо настроить VPN для управления сетевым трафиком. Такая тактика, вероятно, служит злоумышленной цели - обеспечить возможность утечки данных. Если пользователи подтверждают это подключение, им предлагается разрешить установку из неизвестных источников, что облегчает дальнейшие действия вредоносного ПО. Впоследствии он подключается к серверам управления (C2) без ведома пользователя и имеет возможность получать доступ к этим серверам и отправлять на них SMS-сообщения. На момент проведения анализа указанный сервер C2 был отключен.

Новая разновидность этой вредоносной программы, получившая название "Salvador", также находится на подъеме, что указывает на то, что хакеры постоянно совершенствуют свои стратегии, чтобы имитировать законные приложения, избегать обнаружения и расширять возможности кражи данных. Чтобы снизить риски, связанные с такими сложными угрозами, пользователям настоятельно рекомендуется воздерживаться от загрузки приложений из неофициальных источников и следить за тем, чтобы их устройства регулярно обновлялись и исправлялись. Кроме того, использование надежных решений для обеспечения безопасности может помочь защититься от новых тактик, используемых киберпреступниками.

#ParsedReport #CompletenessHigh
05-06-2025

TTPs of Cyber Partisans activity aimed at espionage and disruption

https://ics-cert.kaspersky.com/publications/reports/2025/06/05/ttps-of-cyber-partisans-activity-aimed-at-espionage-and-disruption/

Report completeness: High

Actors/Campaigns:
Cyber_partisans (motivation: cyber_criminal, cyber_espionage, hacktivism)
It_army (motivation: hacktivism)
C0met (motivation: hacktivism)

Threats:
Dnscat2_tool
Vasilek
Pryanik
Byovd_technique
Zemana_tool
Credential_stealing_technique
Mimikatz_tool
Powersploit
Metasploit_tool
Remcom_tool
Psexec_tool
Trojan.win64.agent.qwkbkz
Trojan.win32.agentb.lnij
Trojan.win32.agent.gen
Trojan.win64.agent.qwkciw
Trojan.win32.agent.xbnfrj
Trojan.win32.agent.ildg
Trojan.win64.agentb.kyfw
Zapchast
Trojan.win64.agentb.kyfv
Trojan.win64.agent.qwkswp
Trojan.win32.agent.xbdvtb
Trojan.win32.agent.ildf
Kryptik
Trojan.win32.agentb.live
Trojan.win32.agentb.lnii
Trojan.win32.agentb.miyo

Victims:
Government agencies, Industrial enterprises, Fertilizer production plant

Industry:
Energy, Government, Ics

Geo:
Ukraine, Belarus, Russia, Ukrainian

CVEs:
CVE-2021-31728 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- malwarefox antimalware (2.74.0.150)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1003.001, T1007, T1021.001, T1021.002, T1033, T1036.005, T1041, T1047, T1053.005, have more...

IOCs:
Path: 35
Registry: 3
File: 26
Command: 1
Domain: 12
Hash: 82
IP: 1

Soft:
Telegram, Windows service, Internet Explorer, elegram ch, egram chat, TightVNC, PSExec, Sysinternals, 3proxy

Algorithms:
salsa20, md5, ecdh, sha256

Functions:
getUpdates, Vasilek

Win API:
CreateProcessA

Languages:
powershell

Platforms:
x86, x64

Links:
https://ics-cert.kaspersky.com/away?url=https%3A%2F%2Fgithub.com%2F3proxy%2F3proxy%2Freleases&hs=6f4922f45568161a8cdf4ad2299f6d23
https://ics-cert.kaspersky.com/away?url=https%3A%2F%2Fgithub.com%2Fiagox86%2Fdnscat2&hs=6f4922f45568161a8cdf4ad2299f6d23
https://ics-cert.kaspersky.com/away?url=https%3A%2F%2Fgithub.com%2Frsmudge%2Fvncdll&hs=6f4922f45568161a8cdf4ad2299f6d23
have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 11, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпартизаны атакуют российские и белорусские правительственные и промышленные предприятия, используя новый бэкдор под названием Vasilek, который взаимодействует через Telegram вместо традиционных C& C серверов. Они используют методы фишинга с помощью таких инструментов, как DNSCat2 для удаленного доступа и бокового перемещения, а также используют вредоносное ПО Pryanik, которое использует уязвимость Zemana для удаления журналов. Их сложный подход включает в себя сбор учетных данных с помощью Mimikatz и скрытное выполнение полезной нагрузки, что затрудняет обнаружение и указывает на меняющийся ландшафт угроз в политически чувствительных областях.
-----

Хакерская группа Cyber Partisans атакует правительственные учреждения и промышленные предприятия в России и Беларуси. Они внедрили бэкдор под названием Vasilek, который взаимодействует через специальную группу в Telegram вместо традиционных C&C серверов. Переносчиками заражения являются фишинговые электронные письма, выдающие себя за законных установщиков программного обеспечения, таких как FortiClient VPN, который устанавливает утилиту под названием DNSCat2. DNSCat2 позволяет осуществлять удаленное управление с помощью обфускации сети по протоколу DNS, минуя стандартные меры сетевой безопасности. После выполнения DNSCat2 распаковывается в системном каталоге с использованием уникального ключа дешифрования, полученного из имени хоста скомпрометированной системы, и использует усовершенствованный обфускатор для сохранения полезной нагрузки в зашифрованном виде до выполнения. Группа также использует вредоносную программу-очиститель под названием Pryanik, которая представляет собой логическую бомбу замедленного действия, использующую уязвимость (CVE-2021-31728) в Zemana Anti-Malware для получения повышенных привилегий, завершения процессов обеспечения безопасности и удаления журналов событий перед выполнением процедур перезаписи данных. Для обеспечения широкого доступа используются инструменты сбора учетных данных, такие как Mimikatz, которые используют передовые технологии для выполнения полезной нагрузки в памяти, минуя обнаружение диска. Они используют инструменты удаленного управления и прокси-серверы для управления, сохраняя анонимность. Vasilek усложняет обнаружение, поскольку запускается только в системах определенных жертв и проверяет имена хостов на наличие хэшей, чтобы избежать аварийных сигналов. Злоумышленники поддерживают постоянство с помощью нескольких инструментов доступа на уровне администратора и продвинутых утилит туннелирования, таких как GOST и 3proxy, для маскировки сетевого трафика.

#ParsedReport #CompletenessHigh
05-06-2025

Operation Phantom Enigma

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/operation-phantom-enigma

Report completeness: High

Actors/Campaigns:
Phantom_enigma

Threats:
Pdq_connect_tool
Camellia_loader
Meshcentral_tool
Meshagent_tool
Spear-phishing_technique
Lolbin_technique
Trojan.win32.recon.c
Trojan.win32.powaunch.a
Remoteadmin_tool
Screenconnect_tool

Victims:
Banco do brasil users, Companies

Industry:
Financial, Government

Geo:
Portuguese, Brazil, Brasil, Brazilian, German, Latin america

TTPs:
Tactics: 8
Technics: 0

IOCs:
Hash: 65
Command: 5
File: 46
IP: 4
Registry: 4
Coin: 1
Path: 1

Soft:
Windows Installer, Google Chrome, Chrome, Microsoft Edge, curl, Linux, macOS, Gmail, Google Chrome, Microsoft Edge

Functions:
Write-Most, killBrowsers, getUserDirectories, s, Get-WmiObject

Win API:
Messagebox

Languages:
php, javascript, powershell

Platforms:
arm, mips

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года в ходе кибератаки на бразильских пользователей были использованы фишинговые электронные письма, которые привели к появлению вредоносного расширения Chrome, которое перехватывало банковские данные. Злоумышленники использовали скрипт BAT для запуска сценария PowerShell, который отключал контроль учетных записей и подключался к серверу C2, а также использовали Mesh Agent для удаленного доступа.
-----

В начале 2025 года в ходе расследования, проведенного экспертным центром безопасности Positive Technologies, была выявлена кампания кибератак, нацеленная в первую очередь на пользователей в Бразилии. Атака началась с фишинговых электронных писем, замаскированных под счета-фактуры, которые побуждали пользователей загружать файлы с подозрительного веб-сайта. Первоначально обнаруженный метод включал вредоносное расширение для браузера Google Chrome, но в одном из вариантов атаки вместо него использовался Mesh Agent или PDQ Connect Agent.

Ключевыми элементами атаки был скрипт BAT, предназначенный для загрузки и выполнения вредоносного скрипта PowerShell. Сценарий PowerShell был разработан для отключения контроля учетных записей пользователей (UAC) в системах-жертвах и установления соединения с сервером управления (C2), расположенным по IP-адресу 142.54.185.178. Кроме того, злоумышленники использовали MSI-файл для установки вредоносного расширения в нескольких браузерах, включая Microsoft Edge, Google Chrome и Brave. Процесс установки включал в себя два основных исполняемых действия, приводящих к выполнению запутанного JavaScript, который связывался с сервером C2 по адресу enota.clientepj.com.

Вредоносное расширение Chrome состояло из нескольких файлов JavaScript и манифеста, предназначенного для взаимодействия с веб-страницами, связанными с Banco do Brasil. Примечательно, что код включал функции для сбора конфиденциальной пользовательской информации, что позволяет предположить, что злоумышленники нацеливались на аутентификационные данные, связанные с банковскими услугами. Использование немецкого и португальского языков в коде указывает на возможные региональные предпочтения или влияние на злоумышленников. Кроме того, были встроены ссылки на сервер финансового управления, что позволило расширить возможности удаленного управления.

Наряду с браузерным расширением была обнаружена вредоносная программа Mesh Agent, которая характеризуется способностью устанавливать удаленный доступ к устройствам и подключаться к серверам MeshCentral для управления устройствами. Фишинговая кампания использовала аналогичные мошеннические стратегии рассылки по электронной почте для распространения RAT. Злоумышленники использовали доступ к скомпрометированным организациям для облегчения распространения этих вредоносных электронных писем, в результате чего было идентифицировано около 70 уникальных организаций-жертв.

Анализ выявил двойственную угрозу, исходящую от кампании, поскольку как программы-вымогатели нацелены на личные аккаунты, так и RATs, которые позволяют более широко проникать в инфраструктуру организаций. Этот инновационный подход подчеркивает эволюцию тактики киберпреступности, включая использование уникальных методологий, характерных для латиноамериканского региона. Поскольку основное внимание в рамках кампании по-прежнему уделялось незаконному получению конфиденциальной банковской информации от частных лиц, постоянный мониторинг этой вредоносной деятельности имеет жизненно важное значение для будущих стратегий предотвращения и смягчения последствий.

#ParsedReport #CompletenessMedium
04-06-2025

AIVD and MIVD identify new Russian cyber threat actor

https://www.aivd.nl/binaries/aivd_nl/documenten/publicaties/2025/05/27/aivd-en-mivd-onderkennen-nieuwe-russische-cyberactor/Advisory+AIVD+en+MIVD+Public+report+on+new+cyber+actor.pdf

Report completeness: Medium

Actors/Campaigns:
Void_blizzard (motivation: cyber_espionage)
Fancy_bear

Threats:
Supply_chain_technique
Lolbin_technique
Password_spray_technique
Spear-phishing_technique
Residential_proxy_technique

Victims:
Dutch police, Government organisations, Defence contractors, Social organisations, Cultural organisations, Digital service providers, Commercial entities, Eu institutions, Nato defence ministries, Aerospace firms, have more...

Industry:
Education, Aerospace, Government, Military, Critical_infrastructure, Ngo, E-commerce

Geo:
Russian, Netherlands, Ukraine, Dutch, Russia

TTPs:
Tactics: 5
Technics: 8

Soft:
Microsoft Exchange, Outlook, Office 365

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа LAUNDRY BEAR, вероятно, спонсируемая российским государством, атакует западные военные и правительственные структуры, используя такие методы, как передача файлов cookie и разбрасывание паролей, чтобы избежать обнаружения. Их операции, характеризующиеся оппортунизмом и использованием законных инструментов, вызывают опасения по поводу шпионажа, особенно в отношении военной поддержки Западом Украины.
-----

Служба общей разведки и безопасности Нидерландов (AIVD) и Служба военной разведки и безопасности (MIVD) выявили нового хакера по имени LAUNDRY BEAR, который, предположительно, базируется в России и, вероятно, спонсируется государством. Эта группа с 2024 года участвует в кибероперациях, направленных против различных западных правительственных организаций, уделяя особое внимание военному, правительственному, социальному и оборонному секторам, а также поставщикам цифровых услуг. Расследование было начато после кибератаки на голландскую полицию в сентябре 2024 года, в результате которой была скомпрометирована связанная с работой контактная информация сотрудников полиции.

Для операций LAUNDRY BEAR характерны оппортунистические кибератаки с использованием легкодоступных инструментов и методов, которые затрудняют их обнаружение. Их атаки предполагают шпионаж, в числе предыдущих целей были государства- члены НАТО и ЕС, оборонные подрядчики и организации, занимающиеся производством технологий. Сообщается, что целью этой группы является сбор конфиденциальной информации, имеющей отношение к военным закупкам и производству, особенно в отношении западной помощи Украине.

Технические расследования показали, что LAUNDRY BEAR использовала различные методы для проведения своих атак. Значительный инцидент был связан с использованием атаки на голландскую полицию с использованием файлов cookie, в ходе которой злоумышленник использовал вредоносную программу infostealer для получения файлов cookie для аутентификации из взломанной учетной записи без необходимости использования стандартных учетных данных для входа. Это подчеркивает зависимость LAUNDRY BEAR от методов ведения бизнеса за пределами страны, которые предполагают использование законных инструментов и систем, уже существующих в сетях жертв.

Было замечено, что компания LAUNDRY BEAR использует распыление паролей, нацеливаясь на многочисленные учетные записи с часто используемыми паролями, а не на метод грубой силы. Этот метод умело распределяет попытки входа в систему по времени, чтобы избежать обнаружения системами сетевого мониторинга. Как только доступ получен, группа использует такие методы, как веб-службы Microsoft Exchange (EWS), чтобы облегчить дальнейшие действия в сетях жертв, включая расширение их доступа и масштабную кражу электронной почты.

Группа отличается гибкостью и, скорее всего, использует автоматизированные процессы для быстрой реализации своих стратегий, полагаясь при этом на несложные методы, которые скрывают их деятельность. Примечательно, что их тактика схожа с тактикой известных российских хакеров, в частности APT28, хотя LAUNDRY BEAR действует совершенно по-другому и потенциально представляет повышенный уровень угрозы из-за их быстрого темпа работы.

Учитывая эти наблюдения, AIVD и MIVD считают, что прачечная представляет собой новую угрозу, которая может включать в себя более продвинутые методы атаки. Текущие расследования в сотрудничестве с Microsoft, которая отслеживает их как Void Blizzard, направлены на снижение риска шпионажа, который представляет этот субъект. Основные проблемы включают в себя способность группы использовать украденные механизмы аутентификации и потенциал будущих фишинговых атак, основанных на информации, полученной в ходе предыдущих встреч. Таким образом, голландские службы подчеркивают необходимость надежной организационной защиты и мер мониторинга для противодействия методам, используемым компанией LAUNDRY BEAR.

#ParsedReport #CompletenessMedium
05-06-2025

UNC1151 exploiting Roundcube to steal user credentials in a spearphishing campaign

https://cert.pl/en/posts/2025/06/unc1151-campaign-roundcube/

Report completeness: Medium

Actors/Campaigns:
Ghostwriter
Winter_vivern
Fancy_bear

Threats:
Spear-phishing_technique
Credential_harvesting_technique

Victims:
Polish entities

Industry:
Government

Geo:
Polish, Russian, Belarusian, Poland

CVEs:
CVE-2024-42009 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.5.8, <1.6.8)

CVE-2025-49113 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.007, T1078, T1114, T1189, T1193, T1203, T1566.001, T1566.002, T1589.002

IOCs:
Email: 2
Hash: 1
Domain: 1
File: 1

Soft:
Roundcube

Algorithms:
sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная фишинговая кампания, приписываемая хакерскому кластеру UNC1151, нацелена на польские организации, использующие CVE-2024-42009 в Roundcube для выполнения произвольного JavaScript с помощью вредоносных электронных писем, что может привести к краже учетных данных пользователя. Другая уязвимость, CVE-2025-49113, потенциально позволяет получить полный контроль над почтовым сервером. Рекомендуется принять срочные меры по устранению уязвимости, такие как сброс пароля и отмена регистрации в Service Worker.
-----

CERT Polska сообщила о масштабной фишинговой кампании, нацеленной на различные польские организации, которые с высокой степенью достоверности приписываются хакерскому кластеру UNC1151, предположительно связанному с белорусским правительством и, возможно, с российскими спецслужбами. Кампания использует множество уязвимостей, включая CVE-2024-42009 в Roundcube, которая позволяет злоумышленнику выполнять произвольный JavaScript при открытии вредоносного электронного письма, что потенциально может привести к краже учетных данных пользователя.

Процесс начинается с рассылки электронных писем, содержащих заманчивые темы, призванные побудить получателей к немедленным действиям. Уязвимость CVE-2024-42009 имеет значительное влияние; она возникает из-за недостаточной очистки функций HTML в сообщениях электронной почты, что позволяет вредоносному JavaScript запускаться в браузере жертвы. Для использования этой уязвимости требуется устаревшая версия почтового клиента Roundcube, поскольку уязвимость была исправлена в последних обновлениях. Злоумышленники используют структуру вредоносного кода, состоящую из двух частей: первая использует уязвимость CVE-2024-42009 для установки Service Worker в браузере жертвы. Затем этот фоновый JavaScript может запускать дополнительный вредоносный код из домена злоумышленника.

Кроме того, в Roundcube была обнаружена еще одна уязвимость, CVE-2025-49113, позволяющая прошедшему проверку подлинности злоумышленнику выполнить код, потенциально позволяющий получить полный контроль над почтовым сервером. Хотя пока не было зафиксировано никаких признаков использования, сочетание этих уязвимостей может создать мощную цепочку атак. После сбора учетных данных злоумышленники проводят дальнейший анализ скомпрометированных учетных записей, в том числе получают доступ к содержимому почтовых ящиков и рассылают дополнительные фишинговые сообщения.

Пострадавшим организациям рекомендуется принудительно сбросить пароль для затронутых пользователей, проверить действия пользователей и отменить регистрацию установленных сервисных служб с помощью инструментов разработчика в браузере, чтобы снизить риски. Отчетность для организаций CSIRT имеет решающее значение для более эффективного обнаружения и реагирования на такого рода угрозы. Это свидетельствует о наметившейся тенденции, при которой злоумышленники используют устаревшие уязвимости и расширенные веб-функции для организации кражи учетных данных и последующего неправомерного использования учетной записи.

#ParsedReport #CompletenessLow
05-06-2025

Newly identified wiper malware "PathWiper" targets critical infrastructure in Ukraine

https://blog.talosintelligence.com/pathwiper-targets-ukraine/

Report completeness: Low

Actors/Campaigns:
Sandworm

Threats:
Pathwiper
Impacket_tool
Hermeticwiper

Victims:
Critical infrastructure entity

Industry:
Critical_infrastructure

Geo:
Russia, Ukrainian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1005, T1018, T1059.003, T1059.005, T1070.004, T1105, T1485, T1490, T1569.002

IOCs:
File: 2
Path: 2

Functions:
RemovePath

Links:
https://github.com/fortra/impacket

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В разрушительной кибератаке на Украине участвовала ранее неизвестная вредоносная программа-очиститель PathWiper, которая предположительно была создана связанной с Россией компанией APT. Она использовала административный доступ с помощью законного инструмента для выполнения команд и перезаписи данных хранилища, нацеливаясь на критически важную инфраструктуру.
-----

Компания Cisco Talos сообщила о разрушительной кибератаке на объект критически важной инфраструктуры в Украине, связанной с ранее неизвестным вредоносным ПО wiper, известным как "PathWiper". В ходе атаки была использована легитимная платформа администрирования конечных точек, что позволяет предположить, что злоумышленники получили административный доступ к системе. Этот доступ позволял им выполнять вредоносные команды и развертывать PathWiper на различных подключенных конечных точках. Talos приписывает этот инцидент связанному с Россией злоумышленнику APT, подтверждая это предположение высоким уровнем достоверности, основанным на тактике, методах и процедурах (TTP), которые соответствуют известным вредоносным программам, использовавшимся в прошлом против украинских целей.

Атака была связана с использованием административного инструмента для выдачи команд, которые были получены клиентским программным обеспечением, запущенным на конечных точках. Эти команды выполнялись в виде пакетных файлов, что напоминает выполнение команд Impacket, хотя наличие Impacket не указано однозначно. Пакетный файл запускал вредоносный VBScript с именем uacinstall.vbs, который впоследствии записал исполняемый файл PathWiper (sha256sum.exe) на диск и инициировал его выполнение.

После запуска PathWiper начинает сбор информации о подключенных устройствах хранения и носителях на конечной точке. Это включает в себя программное обнаружение с помощью API и запрос общих сетевых дисков с использованием разделов реестра Windows. Для каждого идентифицированного диска и тома PathWiper создает отдельный поток для перезаписи сохраненных данных случайно сгенерированными байтами. Он считывает атрибуты файловой системы, в частности, относящиеся к файловой системе New Technology (NTFS), и пытается отключить тома с помощью FSCTL_DISMOUNT_VOLUME IOCTL перед выполнением операций по уничтожению данных.

Уничтожение данных PathWiper напоминает тактику, наблюдавшуюся у других wipers, в частности у HermeticWiper, которая в 2022 году атаковала украинские компании и связана с базирующейся в России группой Sandworm. Оба средства очистки нацелены на повреждение критически важных областей диска, включая главную загрузочную запись (MBR) и артефакты, связанные с NTFS. Однако в PathWiper используется более сложный процесс идентификации и проверки подключенных дисков, в отличие от более простого метода перечисления HermeticWiper. Продолжающиеся инновации и внедрение различных вариантов вредоносного ПО wiper подчеркивают постоянную угрозу, исходящую от критически важной инфраструктуры в Украине в условиях затянувшегося конфликта с Россией.

#ParsedReport #CompletenessHigh
05-06-2025

BladedFeline: Whispering in the dark

https://www.welivesecurity.com/en/eset-research/bladedfeline-whispering-dark/

Report completeness: High

Actors/Campaigns:
Bladedfeline (motivation: cyber_espionage)
Oilrig (motivation: cyber_espionage)
Siamesekitten
Europium

Threats:
Primecache
Whisper_backdoor
Shahmaran
Slippery_snakelet
Laret_tool
Pinar_tool
Spearal
Rdat
Videosrv_tool
Timestomp_technique
Credential_dumping_technique
Plink_tool
Olala_tool
Danabot
Shark
Marlin
Mango
Oilforcegtx
Dnspionage
Powerexchange

Victims:
Kurdistan regional government, Government of iraq, Kurdish diplomatic officials, Iraqi government officials, Telecommunications provider in uzbekistan, Middle eastern organizations, Lebanese organizations, United arab emirates organizations, Israeli organizations, Healthcare organizations, have more...

Industry:
Telco, Financial, Chemical, Petroleum, Energy, Healthcare, Government

Geo:
Iraq, Kurdistan, Arab emirates, Bahrain, Middle east, Kurdish, Uzbekistan, Iran, Israeli, Israel, Pakistan, Lebanon, Ukraine, Iranian, United arab emirates

TTPs:
Tactics: 9
Technics: 26

IOCs:
Path: 18
Hash: 13
File: 14
Domain: 2
Url: 1
IP: 2

Soft:
Microsoft Exchange server, PsExec, Microsoft Exchange, Windows image, Sysinternals

Algorithms:
aes, aes-cbc, base64, md5, zip, sha1

Win API:
CreateProcessW

Languages:
python, javascript, powershell

Platforms:
x64

Links:
https://github.com/Fody/Costura

#ParsedReport #ExtractedSchema

Classified images:
code: 3, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BladedFeline, связанная с Ираном APT-группа, с 2017 года атакует курдских и иракских чиновников, используя различные вредоносные программы, такие как Whisper backdoor, который регистрирует электронную почту, и PrimeCache IIS-модуль. Их инструменты демонстрируют сложную разработку вредоносных программ для кибершпионажа с целью влияния на региональную геополитику.
-----

Исследователи ESET выявили кампанию кибершпионажа, приписываемую BladedFeline, связанной с Ираном группе APT. Эта группа, которая действует по меньшей мере с 2017 года, постоянно атакует курдских и иракских правительственных чиновников, разрабатывая различные вредоносные инструменты для поддержания и расширения доступа к их системам. Исследователи обнаружили несколько вредоносных программ, используемых BladedFeline, включая обратные туннели (Laret и Pinar), бэкдор, известный как Whisper, и вредоносный модуль IIS под названием PrimeCache.

Whisper известен своей способностью входить в взломанные учетные записи веб-почты на серверах Microsoft Exchange и обмениваться данными с помощью вложений электронной почты, что делает его особенно эффективным для шпионажа. Этот бэкдор не шифрует сообщения, но использует файл конфигурации, содержащий зашифрованные учетные данные. Следовательно, он регулярно проверяет наличие команд оператора, отправляемых по электронной почте, обеспечивая скрытый контроль над скомпрометированными системами.

Модуль PrimeCache IIS функционирует аналогично бэкдору, используя новый метод выполнения команд, при котором команды оператора и параметры должны отправляться несколькими запросами, сохраняя параметры в глобальной структуре до тех пор, пока не будет запущено выполнение. Этот модуль был связан с BladedFeline благодаря сходству кода с ранее известным RDAT-бэкдором OilRig, что подтверждает предположение о том, что BladedFeline может быть подгруппой OilRig. Операционный процесс PrimeCache имеет заметные общие черты с RDAT, в частности, использование библиотеки Crypto++ и аналогичных методологий для обработки команд.

Инструменты BladedFeline, в том числе облегченный Hawking Listener.СЕТЕВОЙ двоичный файл для прослушивания команд по указанным URL-адресам, подчеркивает их постоянное развитие возможностей вредоносного ПО. Это включает временные метки и сведения о компиляции, свидетельствующие о преднамеренных методах обфускации, распространенных среди ближневосточных хакеров. Кроме того, веб-приложение Flog, загруженное тем же пользователем, который связан с Whisper, иллюстрирует постоянные попытки группы использовать уязвимости в веб-приложениях для внедрения своего кода в целевые системы.

Исторически сложилось так, что BladedFeline с 2017 года закрепился в региональном правительстве Курдистана (КРГ), используя различные типы бэкдоров, включая Shahmaran, который взаимодействует через жестко запрограммированные порты и предназначен для работы в обычной системе. Продолжающийся кибершпионаж этой группировки, по-видимому, носит стратегический характер, поскольку отношения КРГ с западными державами и его нефтяные ресурсы делают его важной мишенью для связанных с Ираном хакеров, стремящихся расширить геополитическое влияние в регионе.

Таким образом, продолжающаяся разработка и внедрение BladedFeline сложного арсенала вредоносных программ и бэкдоров подчеркивает приверженность группы кибершпионажу против правительственных организаций, в то время как их связь с OilRig предполагает более глубокие организационные связи в рамках кибератак Ирана, направленных на подрыв региональной стабильности.