#ParsedReport #ExtractedSchema

Classified images:
code: 3, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BladedFeline, связанная с Ираном APT-группа, с 2017 года атакует курдских и иракских чиновников, используя различные вредоносные программы, такие как Whisper backdoor, который регистрирует электронную почту, и PrimeCache IIS-модуль. Их инструменты демонстрируют сложную разработку вредоносных программ для кибершпионажа с целью влияния на региональную геополитику.
-----

Исследователи ESET выявили кампанию кибершпионажа, приписываемую BladedFeline, связанной с Ираном группе APT. Эта группа, которая действует по меньшей мере с 2017 года, постоянно атакует курдских и иракских правительственных чиновников, разрабатывая различные вредоносные инструменты для поддержания и расширения доступа к их системам. Исследователи обнаружили несколько вредоносных программ, используемых BladedFeline, включая обратные туннели (Laret и Pinar), бэкдор, известный как Whisper, и вредоносный модуль IIS под названием PrimeCache.

Whisper известен своей способностью входить в взломанные учетные записи веб-почты на серверах Microsoft Exchange и обмениваться данными с помощью вложений электронной почты, что делает его особенно эффективным для шпионажа. Этот бэкдор не шифрует сообщения, но использует файл конфигурации, содержащий зашифрованные учетные данные. Следовательно, он регулярно проверяет наличие команд оператора, отправляемых по электронной почте, обеспечивая скрытый контроль над скомпрометированными системами.

Модуль PrimeCache IIS функционирует аналогично бэкдору, используя новый метод выполнения команд, при котором команды оператора и параметры должны отправляться несколькими запросами, сохраняя параметры в глобальной структуре до тех пор, пока не будет запущено выполнение. Этот модуль был связан с BladedFeline благодаря сходству кода с ранее известным RDAT-бэкдором OilRig, что подтверждает предположение о том, что BladedFeline может быть подгруппой OilRig. Операционный процесс PrimeCache имеет заметные общие черты с RDAT, в частности, использование библиотеки Crypto++ и аналогичных методологий для обработки команд.

Инструменты BladedFeline, в том числе облегченный Hawking Listener.СЕТЕВОЙ двоичный файл для прослушивания команд по указанным URL-адресам, подчеркивает их постоянное развитие возможностей вредоносного ПО. Это включает временные метки и сведения о компиляции, свидетельствующие о преднамеренных методах обфускации, распространенных среди ближневосточных хакеров. Кроме того, веб-приложение Flog, загруженное тем же пользователем, который связан с Whisper, иллюстрирует постоянные попытки группы использовать уязвимости в веб-приложениях для внедрения своего кода в целевые системы.

Исторически сложилось так, что BladedFeline с 2017 года закрепился в региональном правительстве Курдистана (КРГ), используя различные типы бэкдоров, включая Shahmaran, который взаимодействует через жестко запрограммированные порты и предназначен для работы в обычной системе. Продолжающийся кибершпионаж этой группировки, по-видимому, носит стратегический характер, поскольку отношения КРГ с западными державами и его нефтяные ресурсы делают его важной мишенью для связанных с Ираном хакеров, стремящихся расширить геополитическое влияние в регионе.

Таким образом, продолжающаяся разработка и внедрение BladedFeline сложного арсенала вредоносных программ и бэкдоров подчеркивает приверженность группы кибершпионажу против правительственных организаций, в то время как их связь с OilRig предполагает более глубокие организационные связи в рамках кибератак Ирана, направленных на подрыв региональной стабильности.

#ParsedReport #CompletenessLow
05-06-2025

Trapped by a Call: The Digital Arrest Scam

https://www.seqrite.com/blog/trapped-by-a-call-the-digital-arrest-scam/

Report completeness: Low

Threats:
Typosquatting_technique
Anydesk_tool
Teamviewer_tool

Industry:
Financial, Government

Geo:
India, Indian

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1114, T1121, T1189, T1204.002, T1219, T1556.004, T1566.001, T1566.002, have more...

IOCs:
Email: 2

Soft:
Laravel, WhatsApp, Zoom

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Мошенничество с "цифровым арестом" предполагает, что мошенники используют персональные данные, полученные в результате крупных взломов, для создания надежных профилей и кражи личных данных. Методы включают подделку идентификатора вызывающего абонента, поддельные правительственные сообщения и сложные платежные системы. Искусственный интеллект помогает выявлять и предотвращать эти мошеннические действия, отслеживая звонки, поведение банков и предупреждая пользователей о потенциальных мошенниках.
-----

Серьезной угрозой стала афера с "цифровым арестом", при которой мошенники используют персональные данные, полученные в результате крупных утечек данных, для создания индивидуальных и правдоподобных профилей своих жертв. Недавний взлом в апреле 2024 года с участием BoAt, в результате которого были раскрыты данные 7,5 миллионов клиентов, включал конфиденциальную информацию, такую как имена и контактные данные, которые позже появились в даркнете. В другом инциденте, связанном с системой Hathway, была использована уязвимость в Laravel, что привело к утечке важных данных клиентов, включая номера Aadhaar и другие документы, удостоверяющие личность. Накопленные данные способствуют росту краж личных данных и целенаправленному мошенничеству.

Мошенничество обычно начинается с кажущегося вполне законным телефонного звонка от человека, выдающего себя за государственного чиновника, который обвиняет жертву в серьезных преступлениях. Беспокойство, усиливаемое точной личной информацией, предоставленной во время разговора, делает его еще более убедительным. Мошенники используют различные инструменты, включая подмену номера для отображения официальных идентификаторов вызывающих абонентов и приложения для видеоконференцсвязи, такие как WhatsApp или Zoom, часто используя поддельные фоны полицейского участка, чтобы повысить свой авторитет. Поддельные текстовые сообщения и электронные письма, имитирующие законную правительственную переписку, в комплекте с поддельными судебными повестками или извещениями о начале расследования, еще больше усиливают их хитрость.

Платежные механизмы, используемые этими мошенниками, становятся все более изощренными. Они копируют хорошо известные банковские платежные шлюзы и приобретают действующие SSL-сертификаты, чтобы убедить жертв в их легитимности. Также используется использование доменов, напоминающих настоящие правительственные веб-сайты, для заманивания в ловушку ничего не подозревающих людей. Жертв часто принуждают к совершению транзакций под давлением, причем платежные запросы, как представляется, поступают от заслуживающих доверия органов власти.

Роль искусственного интеллекта в борьбе с этими видами мошенничества стала решающей. Передовые системы искусственного интеллекта анализируют входящие звонки и сообщения, отмечая известные номера мошенников и выдавая предупреждения, например "Обнаружен общий доступ к экрану", если мошенники пытаются установить вредоносные приложения. Кроме того, искусственный интеллект отслеживает поведение банков, обнаруживая любые подозрительные транзакции, такие как крупные денежные переводы или необычные логины, и предупреждает жертв о необходимости проверки платежей перед завершением. Функции безопасного банковского обслуживания также защищают пользователей от попыток фишинга, блокируя небезопасные платежные порталы и уведомляя их о любых несанкционированных переадресациях вызовов или манипуляциях с SIM-картами, позволяя частным лицам принимать превентивные меры до совершения мошеннических транзакций.

#ParsedReport #CompletenessLow
06-06-2025

Operation Endgame Disrupts AvCheck, Forces Threat Actors to Seek Alternatives

https://www.esentire.com/blog/operation-endgame-disrupts-avcheck-forces-threat-actors-to-seek-alternatives

Report completeness: Low

Threats:
Kleenscan_tool

ChatGPT TTPs:
do not use without manual check
T1027, T1204, T1562.001, T1588.002

IOCs:
Domain: 5

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют сервисы "шифрования" для упаковки вредоносного ПО, что делает его менее обнаруживаемым системами безопасности. Они тестируют вредоносное ПО с помощью антивирусных средств и принимают решение о его распространении, основываясь на показателях обнаружения. После сбоев, подобных операции "Эндшпиль", хакеры быстро адаптируются, переключаясь на новые сервисы, что подчеркивает динамичный характер методов борьбы с киберпреступностью.
-----

Подразделение eSentire по реагированию на угрозы (TRU) изучает тактику, используемую киберпреступниками, уделяя особое внимание использованию "криптографических" сервисов — инструментов, которые кодируют вредоносное ПО, чтобы избежать обнаружения системами безопасности. Киберпреступники применяют систематическую методологию, позволяющую добиться максимального успеха, начиная с использования шифровальщиков для упаковки оригинального вредоносного ПО, что делает его менее обнаруживаемым. После упаковки вредоносного ПО оно загружается в различные службы сканирования для проверки на соответствие антивирусным системам и системам обнаружения конечных точек. Основываясь на результатах, злоумышленники решают, распространять ли вредоносное ПО или вернуться к его переупаковке, используя другие методы, если уровень обнаружения высок.

Один из ключевых игроков в этой экосистеме, KleenScan, предлагает удобный интерфейс для этой цели, позволяющий пользователям загружать свои проекты и тестировать их эффективность с помощью целого ряда антивирусных движков. Эта служба явно придерживается политики "запрета распространения", гарантирующей конфиденциальность образцов вредоносных программ и, таким образом, снижающей вероятность их обнаружения поставщиками средств безопасности. Этот подход иллюстрирует, как сервисы сканирования позиционируют себя потенциальным пользователям-киберпреступникам, как это было видно, когда пользователь по имени "kleenscan" рекламировал эту возможность на хакерском форуме незадолго до отключения сервиса AvCheck.

Недавняя операция правоохранительных органов "Эндшпиль" (Operation Endgame) успешно нарушила работу AvCheck, выявив уязвимости в инфраструктурах киберпреступников. Это нарушение продемонстрировало способность хакеров к адаптации, которые быстро перешли на такие сервисы, как KleenScan и Scanner. Этот сдвиг подчеркивает децентрализованный характер киберпреступности и быструю реакцию злоумышленников на изменения в их операционной среде. По сути, эти сервисы сканирования вредоносных программ являются важнейшими компонентами экосистемы киберпреступности, позволяя преступникам убедиться в том, что их творения невозможно обнаружить, прежде чем они будут запущены в действие. Документированный процесс — упаковка, тестирование, распространение или повторная упаковка - иллюстрирует методический подход, лежащий в основе многих современных кибератак, и подчеркивает продолжающуюся борьбу между хакерами и средствами защиты от кибербезопасности в меняющемся ландшафте.

#ParsedReport #CompletenessMedium
06-06-2025

Analysis of the latest Mirai wave exploiting TBK DVR devices with CVE-2024-3721

https://securelist.com/mirai-botnet-variant-targets-dvr-devices-with-cve-2024-3721/116742/

Report completeness: Medium

Threats:
Mirai
Bashlite

Victims:
Dvr devices

Industry:
Iot

Geo:
Egypt, Turkey, India, Brazil, Ukraine, Russia, China

CVEs:
CVE-2024-3721 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.004, T1082, T1105, T1190, T1497.001, T1498, T1587.001

IOCs:
Hash: 16
IP: 11
Url: 1

Soft:
Linux, QEMU

Algorithms:
rc4, xor, md5

Platforms:
arm

Links:
https://github.com/netsecfish/tbk\_dvr\_command\_injection

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Использование CVE-2024-3721 позволяет ботам, связанным с ботнетом Mirai, выполнять несанкционированные команды на устройствах TBK DVR с помощью вредоносных POST-запросов. Этот вариант бота расширяет возможности обхода и нацелен на устройства Интернета вещей для DDoS-атак, поскольку более 50 000 устройств DVR по всему миру подвержены атакам. Немедленное обновление уязвимых систем имеет решающее значение для смягчения последствий.
-----

Использование хорошо документированных уязвимостей системы безопасности для развертывания ботов в скомпрометированных системах является постоянной проблемой в сфере кибербезопасности. Примечательно, что многие автоматизированные боты ищут в Интернете уязвимости в серверах и устройствах, особенно в тех, которые используют широко используемые сервисы. Эти боты часто используют эксплойты удаленного выполнения кода (RCE), нацеленные на HTTP-сервисы, облегчающие выполнение команд Linux с помощью запросов GET или POST. Недавнее наблюдение выявило использование CVE-2024-3721, которое позволило боту проникнуть в сервис honeypot, выявив его связь с печально известной ботнет-сетью Mirai, которая в основном нацелена на системы мониторинга видеорегистраторов, используемые для записи видеозаписей с камер наблюдения.

CVE-2024-3721 содержит критическую уязвимость, которая позволяет выполнять несанкционированные команды на устройствах TBK DVR, создавая путь для злоумышленников с помощью специального вредоносного POST-запроса. Этот запрос предоставляет краткий сценарий оболочки, который загружает и выполняет двоичный файл ARM32 на целевом компьютере. Несмотря на то, что исходный код ботнета Mirai был опубликован почти десять лет назад и с тех пор был адаптирован различными киберпреступниками для масштабных операций по DDoS-атакам и захвату ресурсов, текущая версия DVR-бота включает в себя такие усовершенствования, как шифрование строк с помощью RC4, проверки на обнаружение виртуальных машин и методы, позволяющие избежать эмуляции.

В ходе анализа вредоносная программа систематически опрашивает запущенные процессы, чтобы определить, работает ли она в виртуализированной среде, проверяя каталог /proc на наличие признаков процессов VMware или QEMU-arm. Успешное завершение этих проверок позволяет боту завершить последовательность выполнения, одновременно подготавливая скомпрометированное устройство к приему команды.

Телеметрические данные, полученные в ходе этого расследования, показывают, что большинство намеченных жертв проживают в нескольких странах, включая Китай, Индию, Египет, Украину, Россию, Турцию и Бразилию. Общее количество уязвимых и зараженных устройств по всему миру остается неопределенным, но данные свидетельствуют о том, что в настоящее время более 50 000 незащищенных видеорегистраторов доступны онлайн, что представляет собой множество целей для злоумышленников, использующих незащищенные уязвимости.

Продолжающееся использование известных уязвимостей в устройствах Интернета вещей (IoT) и незащищенных серверах, наряду с пагубным распространением вредоносного ПО, ориентированного на Linux, в значительной степени способствует распространению ботов, которые постоянно ищут новых жертв. В первую очередь, эти боты предназначены для проведения DDoS-атак. Однако многие из них перестают функционировать после перезагрузки устройства из-за ограничений встроенного ПО на изменения файловой системы. Для предотвращения таких заражений рекомендуется немедленно обновлять уязвимые устройства после выпуска исправлений безопасности. Для особо уязвимых устройств также может потребоваться сброс настроек к заводским. Средства обнаружения этих угроз классифицируются как HEUR:Backdoor.Linux.Mirai и HEUR:Backdoor.Linux.Gafgyt в продуктах Kaspersky.

#ParsedReport #CompletenessLow
05-06-2025

Destructive npm Packages Disguised as Utilities Enable Remote System Wipe

https://socket.dev/blog/destructive-npm-packages-enable-remote-system-wipe

Report completeness: Low

Actors/Campaigns:
Npm_api-sync

Threats:
Supply_chain_technique

Industry:
Healthcare

TTPs:

IOCs:
Email: 2
File: 31

Soft:
Outlook, Node.js, Linux, macOS, Unix

Algorithms:
md5, sha256, base64

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Два вредоносных пакета npm, express-api-sync и system-health-sync-api, содержат бэкдоры для выполнения деструктивных действий в производственных системах. Первый запускается при первом HTTP-запросе, в то время как второй адаптирует команды на основе операционной системы, облегчая кросс-платформенные атаки и создавая скрытые каналы управления.
-----

Недавние расследования, проведенные исследовательской группой Socket по изучению угроз, выявили два вредоносных пакета npm, express-api-sync и system-health-sync-api, которые предназначены для компрометации производственных систем. Опубликованные пользователем, идентифицированным как botsailer, эти пакеты выдают себя за легальные утилиты, но содержат бэкдоры, предназначенные для деструктивных действий против целевых приложений. Пакет express-api-sync, хотя и претендует на синхронизацию данных между базами данных, не обладает какой-либо значимой функциональностью базы данных. Вместо этого он скрывает бэкдор, который ожидает определенной команды для выполнения вредоносных действий.

Когда express-api-sync интегрирован в приложение Express, он изначально кажется безобидным. Однако его код активируется при первом HTTP-запросе к любой конечной точке, запуская деструктивную последовательность действий через скрытую конечную точку. Бэкдор прослушивает POST-запросы к /api/this/that, используя жестко заданный ключ "DEFAULT_123", отправляемый либо в заголовке, либо в теле запроса. Этот метод работы позволяет злоумышленнику незаметно выдавать команды удаления, используя Unix-команду "rm -rf *", которая может удалять целые каталоги приложений.

В отличие от этого, пакет system-health-sync-api демонстрирует более сложный и многофункциональный дизайн, который описывается как "швейцарский армейский нож разрушения". Он может распознавать операционную систему и адаптировать ее разрушительные команды, используя "rd /s /q" .`в Windows можно удалить не только содержимое, но и текущий каталог. Эта кроссплатформенная возможность усиливает угрозу, позволяя вредоносному ПО функционировать в различных серверных средах, включая Windows, Linux и macOS.

Ключевые функциональные возможности system-health-sync-api также включают первоначальную проверку подключения к почтовому серверу злоумышленника, которая замаскирована под проверку работоспособности. Об успешном подключении сообщается как о "готовности SMTP-сервера", при этом устанавливается канал управления, который, как отмечают исследователи, традиционным брандмауэрам трудно обнаружить из-за его сочетания с обычным почтовым трафиком. Вредоносный код содержит конечные точки для разведки (GET /_/system/health) и уничтожения (POST /_/system/health и POST /_/sys/maintenance) с интеллектуальным протоколированием и реагированием на ошибки, что помогает при систематических атаках.

Гибкость этих пакетов позволяет злоумышленникам выполнять свои команды, сводя к минимуму риски обнаружения. Они могут проверять состояние сервера, выполнять тестовые запуски и выдавать команды на уничтожение с нескольких конечных точек с различными механизмами аутентификации. Структура и поведение этих пакетов указывают на то, что хакеры становятся все более сложными и многогранными. Возможности поведенческого анализа Socket отвечают на эти вызовы, отслеживая действия пакетов в режиме реального времени и обеспечивая меры защиты от вредоносных пакетов npm.

#ParsedReport #CompletenessMedium
06-06-2025

Abusing Paste.ee to Deploy XWorm and AsyncRAT Across Global C2 Infrastructure

https://hunt.io/blog/pasteee-xworm-asyncrat-infrastructure

Report completeness: Medium

Threats:
Xworm_rat
Asyncrat
Remcos_rat

Geo:
Germany

ChatGPT TTPs:
do not use without manual check
T1001, T1021.001, T1027, T1041, T1056.001, T1059.007, T1071.001, T1078, T1078.003, T1090, have more...

IOCs:
File: 6
IP: 5
Domain: 3
Url: 1
Hash: 2

Soft:
Nginx, FiveM

Algorithms:
aes

Languages:
javascript

Links:
https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp
https://github.com/dnSpy/dnSpy
have more...
https://github.com/projectdiscovery/httpx

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская кампания использовала paste.ee для распространения XWorm и AsyncRAT RATs с помощью скрытого загрузчика JavaScript. Вредоносное ПО захватывает конфиденциальные данные и обеспечивает постоянный доступ к ним, используя сложную инфраструктуру C2. Ключевые показатели включают необычную сетевую активность на портах 6606 и 7707, что указывает на необходимость тщательного мониторинга и усилий по обнаружению угроз.
-----

Недавние расследования хакерской кампании выявили использование paste.ee, легального онлайн-сайта paste, для распространения троянских программ удаленного доступа XWorm и AsyncRAT (RATs) с помощью скрытого загрузчика JavaScript. Первоначальная проверка вредоносных программ, которые содержали якобы безобидный JavaScript-файл с именем "ДОКУМЕНТ ДЛЯ ДОСТАВКИ" INFORMATION.js показала, что на самом деле это был замаскированный загрузчик. В этом JavaScript использовались необычные символы Unicode для маскировки его функциональности, которая включала в себя обращение к paste.ee для извлечения и выполнения вредоносной полезной нагрузки с помощью конструктора функций.

Анализ начался с выявления этого JavaScript-кода и был расширен, чтобы охватить более широкую кампанию, использующую методы обфускации и глобально распределенную инфраструктуру командования и контроля (C2), связанную с этими RAT. Тщательное изучение показало, что возможности XWorm включают регистрацию нажатий клавиш, эксфильтрацию данных и постоянный удаленный доступ. XWorm может фиксировать нажатия клавиш в различных приложениях, вести учет активных окон и отслеживать состояние клавиатуры, в конечном итоге собирая конфиденциальную информацию.

Дальнейшее изучение инфраструктуры привело к обнаружению вредоносных исполняемых файлов, связанных с вредоносной программой XWorm. Расшифровка и анализ этих файлов выявили ссылки на различные серверы C2, в частности, на домен abuwire123.ddns.net и связанный с ним IP-адрес 45.145.43.244, расположенный в Германии. Этот IP-адрес показал потенциальную активность на нескольких портах, которые нетипичны для обычных служб, в частности, на 6606 и 7707, которые связаны с AsyncRAT.

AsyncRAT, троянец с открытым исходным кодом для удаленного доступа на C#, подвергся многочисленным модификациям со стороны различных хакеров, что свидетельствует о его гибкости и сложности современного ландшафта угроз. Данные указывали на значительную вредоносную активность с IP-адреса 45.145.43.244, которая на протяжении многих лет была связана с другими подозрительными сервисами. Одновременно шаблоны в SSL-сертификатах для различных портов были привязаны к вариантам AsyncRAT, что еще раз указывает на хорошо структурированную сеть C2.

Кампания наглядно демонстрирует, что злоумышленники используют легальные сервисы для размещения вредоносных программ, что затрудняет их обнаружение. Аналитики подчеркнули важность мониторинга необычной сетевой активности, особенно на малоизвестных портах, таких как 6606 и 7707, поскольку они указывают на возможные операции командования и контроля. Постоянные усилия, включая использование методов регулярных выражений, мониторинг журналов IOCs и анализ поведения JavaScript, жизненно важны для обнаружения угроз и устранения их последствий. Пользователям настоятельно рекомендуется быть осторожными со ссылками, ведущими к сервисам вставки, и опасаться запутанного JavaScript, который часто скрывает вредоносную полезную нагрузку.

#ParsedReport #CompletenessMedium
06-06-2025

A SoraAI clickbait

https://labs.k7computing.com/index.php/a-soraai-clickbait/

Report completeness: Medium

Threats:
Clickbait_technique

Geo:
Vietnam

ChatGPT TTPs:
do not use without manual check
T1041, T1059.001, T1059.003, T1059.006, T1070.004, T1105, T1119, T1539, T1547.001, T1555.003, have more...

IOCs:
File: 5
Hash: 3
Url: 1

Soft:
OpenAI, Telegram, Chrome, Firefox, Opera, Steam, Twitter

Algorithms:
aes, zip

Functions:
get_pid, extract_facebook_cookies, create_zip_file, StealWifiInformation, GetPasswords, GetCards, SendAllData

Win API:
CreateToolhelp32Snapshot, Process32FirstW, Process32NextW

Languages:
powershell, python