#ParsedReport #CompletenessHigh
06-06-2025

Blitz Malware: A Tale of Game Cheats and Code Repositories

https://unit42.paloaltonetworks.com/blitz-malware-2025/

Report completeness: High

Threats:
Blitz_tool
Xmrig_miner
Elysium_stealer
Sandbox_evasion_technique

Victims:
Users of game cheats, Windows users

Industry:
Education

Geo:
Asia, America, Russian, Belarus, Ukraine, Russia, Africa, Kazakhstan

ChatGPT TTPs:
do not use without manual check
T1055.001, T1056.001, T1059.001, T1071.001, T1105, T1112, T1113, T1204.002, T1218.011, T1219, have more...

IOCs:
File: 7
Hash: 82
Domain: 2
Email: 4
Path: 2
Registry: 2
Url: 7
IP: 1

Soft:
Telegram, Hugging Face, Android, Visual Studio Code, Windows registry, curl, Docker, Discord

Crypto:
monero

Algorithms:
base64, xor, rc4, sha256, zip

Languages:
powershell, python

Links:
https://github.com/curl/curl-for-win
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-04-25-IOCs-for-Blitz-malware.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Blitz - это вредоносная программа для Windows с загрузчиком и ботами, распространяемая через скрытые пакеты игровых читов в Telegram и предназначенная для пользователей Standoff 2. Она использует PowerShell для скрытой установки, поддерживает связь C2 и включает в себя такие функции, как кейлоггинг и DoS-атаки. С тех пор оператор sw1zzx прекратил распространение, подчеркнув риски, связанные с взломанным программным обеспечением.
-----

В конце 2024 года была обнаружена новая вредоносная программа для Windows, идентифицированная как Blitz, что указывает на продолжающийся цикл разработки. Blitz состоит из двух основных компонентов: загрузчика и полезной нагрузки бота, которая позволяет злоумышленникам контролировать зараженные системы Windows. Вредоносная программа, в частности, распространялась с помощью бэкдорных пакетов с чит-кодами для игр, в частности, была нацелена на пользователей мобильной игры Standoff 2 через Telegram.

Для распространения использовались ZIP-архивы, специально названные Elysium_CrackBy@sw1zzx_dev.zip и Nerest_CrackBy@sw1zzx_dev.zip, которые содержат встроенные исполняемые файлы (EXE-файлы). При запуске эти встроенные читы функционируют как загрузчик, который впоследствии извлекает и устанавливает Blitz-бота. Вредоносная программа действует скрытно, используя скрипт PowerShell для загрузки Blitz downloader, сохраняя его как “%localappdata%\Microsoft\Internet Explorer\ieapfltr.dll” и обеспечивая постоянство с помощью изменений в реестре, тем самым запускаясь при входе пользователя в систему. Компоненты загрузчика и бота взаимодействуют с инфраструктурой управления (C2), размещенной в пространстве Hugging Face, используя REST API, созданный на платформе FastAPI framework.

Бот Blitz включает в себя несколько функций, таких как ведение кейлогга, захват экрана и возможность запускать атаки типа "отказ в обслуживании" (DoS) на веб-серверы. Кроме того, бот способен загружать и запускать криптовалютный майнер XMRig, при условии проверки наличия экземпляров майнера на зараженной машине. Бот использует специальные методы сетевого взаимодействия, включая HTTP-запросы GET к конечным точкам C2 для получения оперативных команд и сбора данных.

Вредоносная программа использует меры защиты от "песочницы", чтобы избежать обнаружения во время анализа. Например, она использует проверки, чтобы определить, запущена ли она в виртуальной среде, и использует вводящие в заблуждение сообщения об ошибках, чтобы скрыть свои истинные намерения. Оператор, известный под ником sw1zzx, разместил рекламу этих читов в социальных сетях, что привело к широкому распространению в разных странах, при этом наибольший эффект был отмечен в России, Украине и Беларуси.

В начале 2025 года оператор объявил о своем уходе с рынка распространения вредоносных программ, сославшись на опасения по поводу безопасности, связанные с рисками, связанными с использованием скрытых читов. Впоследствии Hugging Face принял меры, отключив учетную запись оператора и заблокировав дальнейшие загрузки, связанные с Blitz. Угрозы, исходящие от Blitz, подчеркивают опасность использования взломанного программного обеспечения, подчеркивая значительные уязвимости в системе безопасности, которые сопровождают такие действия.

#ParsedReport #CompletenessMedium
08-06-2025

Analysis of Spyware That Helped to Compromise a Syrian Army from Within

https://www.mobile-hacker.com/2025/06/05/analysis-of-spyware-that-helped-to-compromise-a-syrian-army-from-within/

Report completeness: Medium

Threats:
Spymax
Spynote_rat

Victims:
Syrian army officers, Syrian army soldiers, Syrian military institution

Industry:
Military

Geo:
Syrian, Syria

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1071.001, T1074.001, T1123, T1125, T1204.001, T1566.001

IOCs:
Domain: 3
Hash: 6

Soft:
Telegram, Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Шпионская программа STFD-686, связанная с Android SpyMax, распространялась через Telegram среди офицеров сирийской армии под видом приложения для оказания финансовой помощи. Он извлекал конфиденциальные военные данные с помощью обманной тактики, позволяя злоумышленникам составлять карты дислокации войск и оценивать военные структуры, демонстрируя тем самым эффективность недорогих инструментов кибершпионажа.
-----

STFD-686 - это шпионское приложение, связанное с Android SpyMax и используемое для кибершпионажа против сирийских военных. Приложение распространялось среди солдат через Telegram под видом гуманитарной инициативы, предлагающей финансовую помощь. Программа эффективно удаляла конфиденциальные военные данные, включая воинские звания и местоположение подразделений. Android SpyMax, входящий в семейство вредоносных программ SpyNote, обеспечивает полный контроль над зараженными устройствами, включая слежку и GPS-отслеживание. Первоначально вредоносное ПО распространялось на подпольных форумах, прежде чем стало общедоступным. Во время установки программа запрашивала расширенные разрешения, а затем отображала фишинговые интерфейсы для извлечения конфиденциальной информации. Вредоносная программа взаимодействовала с двумя доменами: одним для фишинга и одним в качестве сервера управления (C&C). При необходимости она динамически извлекает дополнительные вредоносные данные с сервера управления. Целью SpyMax был сбор разведывательной информации о дислокации войск и структуре высокопоставленных офицеров, используя недорогостоящие инструменты для получения значительного стратегического эффекта.

#ParsedReport #CompletenessMedium
08-06-2025

From open-source to open threat: Tracking Chaos RATs evolution

https://www.acronis.com/en-us/cyber-protection-center/posts/from-open-source-to-open-threat-tracking-chaos-rats-evolution/

Report completeness: Medium

Actors/Campaigns:
Winnti
Transparenttribe
Stone_panda
Blindeagle
Oilrig
Charming_kitten

Threats:
Chaos_rat
Cobalt_strike_tool
Sliver_c2_tool
Chaos_ransomware
Njrat
Quasar_rat
Asyncrat
Pupy_rat

Geo:
French, Brazil, Portuguese, India, Spain, Japanese, Spanish, Italian

CVEs:
CVE-2024-31839 [Vulners]
CVSS V3.1: 4.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-30850 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1053.003, T1055.008, T1059.003, T1059.004, T1071.001, T1090, T1105, T1185, have more...

IOCs:
Hash: 20
File: 5
IP: 2

Soft:
Linux, task scheduler, macOS, Ubuntu

Algorithms:
sha256, base64

Functions:
ReadDir

Win API:
LockWorkStation

Languages:
golang, javascript

Platforms:
cross-platform

YARA: Found

Links:
https://github.com/kbinani/screenshot

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7, code: 7, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Chaos RAT - это троян для удаленного доступа, предназначенный для Linux и Windows, использующий критическую уязвимость для удаленного выполнения кода. Он распространяется с помощью фишинговых сообщений электронной почты, имеет механизмы сохранения и использует команды двух операционных систем для выполнения операций. Открытый исходный код Chaos RAT, недостатки в его серверной части и низкий уровень обнаружения вызывают опасения по поводу его использования APT-группами.
-----

Появились новые варианты троянской программы удаленного доступа Chaos RAT, нацеленной как на Linux, так и на Windows. В веб-панели программы имеется критическая уязвимость, которая позволяет выполнять произвольный удаленный код на сервере. Chaos RAT распространяется в основном через фишинговые электронные письма с вредоносными ссылками или вложениями. Он изменяет системный планировщик задач для обеспечения постоянства, позволяя обновлять полезную нагрузку без физического доступа. Последний вариант был распространен в виде сжатого файла, замаскированного под утилиту для устранения неполадок в сети, предназначенную для пользователей Linux. Chaos RAT, разработанный в Golang, обладает кроссплатформенной поддержкой и административной панелью для управления полезной нагрузкой и сеансами. Его архитектура напоминает Cobalt Strike и Sliver, что облегчает шпионаж, кражу данных и внедрение программ-вымогателей. Он использует определенные команды для выполнения операционных задач, в зависимости от операционной системы, таких как завершение работы системы в Windows и манипуляции с файлами в Linux. Ошибка в функции BuildClient позволяет вводить команды из-за неправильной проверки ввода. Уязвимость межсайтового скриптинга (XSS) позволяет внедрять вредоносные скрипты в данные агента. Ее открытый исходный код увеличивает риск модификации для различных киберпреступных действий. Инструмент работает скрытно с низким уровнем обнаружения и потенциально может использоваться группами APT, такими как APT41 и APT10. Последние обновления в конфигурациях командно-диспетчерского управления указывают на непрерывную эволюцию средств защиты от кибербезопасности.

#ParsedReport #CompletenessLow
08-06-2025

Scattered Spider Targets Tech Companies for Help-Desk Exploitation - ReliaQuest

https://reliaquest.com/blog/scattered-spider-cyber-attacks-using-phishing-social-engineering-2025/

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated)
Dragonforce

Threats:
Evilginx_tool
Sim_swapping_technique
Typosquatting_technique
Blackcat
Ransomhub
Simplehelp_tool
Supply_chain_technique

Victims:
Marks & spencer, Co-op, Harrods, It contractors, Managed service providers, Reliaquest customers, Tcs

Industry:
Retail, Financial

Geo:
Russian, Russia, Moscow

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1078.002, T1078.003, T1098.001, T1110, T1110.001, T1111, T1136.001, T1136.003, have more...

Soft:
servicenow, ESXi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Scattered Spider - это финансово мотивированная киберпреступная группировка, нацеленная на технический, финансовый и розничный секторы, использующая методы социальной инженерии и фишинга, в частности, через Evilginx в обход MFA. В своих операциях они используют поставщиков управляемых услуг, нацеливаясь на ценные учетные данные с помощью передовых методов, таких как вишинг и уязвимости в программном обеспечении для удаленного управления. Организациям следует усилить меры безопасности и обучение для устранения этих возникающих угроз.
-----

Scattered Spider - это финансово мотивированная киберпреступная группировка, нацеленная на технологии, финансы и розничную торговлю. Они специализируются на краже ценных учетных данных системных администраторов и руководителей. Их атаки в значительной степени основаны на социальной инженерии и фишинге, используя такие инструменты, как Evilginx, для обхода многофакторной аутентификации. Примерно 81% их доменов выдают себя за поставщиков технологий, а для обмана жертв используется такая тактика, как тайпсквоттинг.

Группа использует поставщиков управляемых услуг и ИТ-подрядчиков для взлома нескольких клиентских сетей с помощью одной компрометации. Они были связаны со значительными киберинцидентами в Великобритании и США, хотя прямая причастность к ним не подтверждена. Их операционная инфраструктура демонстрирует переход от регистрации доменов через дефис к регистрации доменов на основе поддоменов, чтобы избежать обнаружения.

Из более чем 600 проанализированных доменов около 35% были нацелены на технологические компании, в то время как 20% были нацелены на финансы, а 15% - на розничную торговлю. Фишинговые методы Scattered Spider включают в себя advance frameworks, получение учетных данных с помощью поддельных страниц входа. Кроме того, они используют методы вымогательства, манипулируя сотрудниками с помощью изученных профилей в социальных сетях.

Сотрудничество с российскими организациями, занимающимися киберпреступностью, повышает эффективность их деятельности. Последние методы включают использование уязвимостей в программном обеспечении для удаленного управления, таком как SimpleHelp, для развертывания программ-вымогателей. Они сосредоточены на приобретении специализированных доменов для конкретных целей и используют автоматизированный мониторинг для быстрого обнаружения вторжений. Рекомендации по снижению рисков включают аутентификацию на основе рисков, расширенное обучение социальной инженерии и внедрение надежных мер безопасности. Постоянная бдительность и проактивная защита необходимы против тактики рассеянных пауков.

#ParsedReport #CompletenessHigh
08-06-2025

The Golden Eye Dog (APT-Q-27) group recently used the "Silver Fox" Trojan to steal secrets

https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247515029&idx=1&sn=41ca43a966c86bed0a8229ada062a316

Report completeness: High

Actors/Campaigns:
Golden_eyed_dog
Silver_fox
Miuuti

Threats:
Raindrop_tool
Watering_hole_technique
Todesk_tool
Winos
Ollvm_tool

Geo:
China, Asia, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.001, T1071.001, T1082, T1105, T1189, T1218.011, T1496, T1499, have more...

IOCs:
File: 16
Hash: 10
Path: 1
IP: 6
Registry: 1
Url: 1
Domain: 1

Soft:
QuickConnect VPN, Windows Defender, NET Framework, Android

Algorithms:
md5, zip

Languages:
delphi, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4, code: 15, table: 2, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-Q-27, также известный как Golden Eye Dog, нацелен на сектор азартных игр и сборищ собак, используя DDoS-атаки и распространение вредоносного ПО с помощью методов "водопоя". Их вредоносные программы, включая трояны Winos4.0, используют передовые методы обфускации и защиты от обнаружения, включая такие инструменты, как Config.ini и Insttect.exe. Связь с серверами C2 осуществляется по определенным IP-адресам и портам, что позволяет осуществлять фильтрацию данных и постоянный контроль.
-----

Хакерская группа, известная как Golden Eye Dog, идентифицированная как APT-Q-27, активно атакует игорный бизнес и сектор, занимающийся продажей собак, используя различные методы атак, такие как дистанционное управление, майнинг криптовалют и распределенные атаки типа "отказ в обслуживании" (DDoS). Их подход включает в себя использование методов "водопоя" для распространения вредоносных программ и внедрения троянских программ, эффективно компрометирующих пользовательские системы. Вредоносное ПО, разработанное этой группой, создано с использованием таких языков программирования, как .NET, C++, Go и Delphi, что свидетельствует о глубоком понимании разработки программного обеспечения и механизмов защиты от обнаружения.

Заметным компонентом их вредоносного ПО является конфигурационный файл Config.ini, который работает как шелл-код, загружающий переносимый исполняемый файл (PE). Этот исполняемый файл обращается к экспортированной функции из библиотеки динамической компоновки (DLL) под названием "VFPower", которая также важна для создания мьютекса с именем "zhuxianlu". Одно из их недавних направлений атаки было связано с развертыванием вредоносного установочного пакета, замаскированного под Todesk, который в дальнейшем внедряет троянскую программу Winos4.0. Скомпилированные исполняемые файлы часто превышают 30 МБ и, по-видимому, в основном написаны на C++, демонстрируя поведение, указывающее на сетевые возможности и выполнение команд PowerShell.

Связь с сервером управления (C2) устанавливается через IP-адрес (120.89.71.226) и использует несколько портов, включая 8852, 9090, 18852 и 18853. Кроме того, вредоносная программа демонстрирует отличительную черту семейства троянских программ "Silver Fox", добавляя диск C в каталог исключений антивирусов, что обеспечивает ей определенную степень защиты от обнаружения средствами безопасности. Важную роль в работе этой вредоносной программы играет важный исполняемый файл, известный как Insttect.exe, который загружает файл с именем Single.ini для облегчения выполнения шеллкода и вызова функции VFPower из библиотеки DLL.

Сам шеллкод обфускируется с помощью OLLVM, который представляет собой сложный уровень защиты, предназначенный для предотвращения обратного проектирования и анализа. Бэкдор, созданный этим вредоносным ПО, не только обеспечивает дальнейшую загрузку вредоносных программ, но и обеспечивает непрерывную связь с сервером C2, одновременно регистрируя дополнительные вредоносные DLL-файлы в скомпрометированной системе. Вредоносное ПО также предназначено для сбора и передачи машинных данных, что повышает его функциональность и устойчивость в зараженных средах. Группа использует как конкретные IP-адреса для своих операций C2, так и доменные имена, что иллюстрирует многогранную стратегию поддержания контроля над скомпрометированными активами.

#ParsedReport #CompletenessLow
08-06-2025

iProov Threat Intelligence Uncovers Grey Nickel Threat Actor Targeting Banking, Crypto, and Payment Platforms

https://www.iproov.com/press/threat-intelligence-grey-nickel-targeting-banking-crypto-payment-platforms

Report completeness: Low

Actors/Campaigns:
Playful_taurus (motivation: cyber_criminal)

Industry:
Financial

Geo:
United kingdom, America, Asia, Asia-pacific, London, Emea

ChatGPT TTPs:
do not use without manual check
T1036, T1056.002, T1078, T1113, T1204.001, T1204.002, T1566

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступная группировка "Серый никель" нацелена на финансовые учреждения по всему миру, используя уязвимости для удаленной проверки личности с помощью обмена лицами и манипулирования видеопотоками в обход процедур KYC. Их деятельность основана на модели "глубокой подделки как услуги", которая использует украденные базы данных идентификационных данных для облегчения крупномасштабного мошенничества с личными данными, что приводит к значительным финансовым потерям для организаций.
-----

Киберпреступная операция, известная как "Серый никель", активно нацелена на финансовые учреждения по всему миру, особенно в Азиатско-Тихоокеанском регионе, а недавние действия были отмечены в Северной Америке и регионе EMEA. Эта изощренная хакерская группа использует передовые методы для использования уязвимостей в системах удаленной проверки личности, стремясь обойти процедуры "Знай своего клиента" (KYC). С июля 2023 года Grey Nickel сосредоточилась на банках, криптовалютных биржах, электронных кошельках и цифровых платежных платформах, используя технологию обмена лицами и манипулирование метаданными, чтобы обойти системы определения подлинности, которые обычно используются для верификации.

Криминальные сети разработали мобильные приложения, способные обходить проверку KYC как на платформах Android, так и на iOS. Эти приложения внедряют в процесс проверки предварительно записанные или обработанные видеопотоки, которые становятся все более совершенными и включают функции синхронизации по губам, чтобы обойти проблемы с аутентификацией на основе голоса. Операции основаны на модели "Подделка как услуга", когда независимые субъекты предлагают индивидуальные услуги по созданию подделок в рамках своих пакетов обхода KYC, предназначенных специально для финансовых учреждений. Этот подход использует украденные базы данных идентификационных данных и носители, созданные с помощью искусственного интеллекта, для создания синтетических идентификационных данных, которые облегчают крупномасштабное мошенничество с личными данными.

Последние данные указывают на тревожную тенденцию: в отчетах говорится о значительных финансовых потерях из-за мошенничества с использованием искусственного интеллекта, включая случай, произошедший в 2024 году, когда мошенники выдавали себя за руководителей компании, чтобы обмануть фирму на сумму 25,6 миллиона долларов. Опросы показывают, что в 2023 году более половины финансовых организаций понесли убытки в размере от 5 до 25 миллионов долларов из-за атак с использованием искусственного интеллекта. Кроме того, в отчете Организации Объединенных Наций зафиксирован 600-процентный рост преступной деятельности, связанной с deepfake, в Юго-Восточной Азии в первой половине 2024 года, что подчеркивает тревожную эскалацию преступлений, связанных с использованием искусственного интеллекта.

Одной из основных проблем в борьбе с этими угрозами является непоследовательная и зачастую неадекватная отчетность финансовых учреждений. Отсутствие всеобъемлющей отчетности об инцидентах затрудняет понимание регулирующими органами масштабов киберпреступности, что препятствует эффективному реагированию со стороны регулирующих органов. В то время как такие регионы, как Европейский союз, добиваются успехов во внедрении надежных решений для идентификации цифровых данных в соответствии с требованиями законодательства о борьбе с отмыванием денег, многие страны остаются позади. Такое неравенство создает возможности для киберпреступников и подчеркивает настоятельную необходимость расширения международного сотрудничества и обмена данными для совершенствования мер безопасности и нормативно-правовой базы в секторе финансовых услуг.

#ParsedReport #CompletenessLow
08-06-2025

NightSpire Ransomware Encrypts Cloud-Stored OneDrive Files

https://www.sonicwall.com/blog/nightspire-ransomware-encrypts-onedrive-files

Report completeness: Low

Threats:
Nightspire

Victims:
Facility services organization

Geo:
Spain

ChatGPT TTPs:
do not use without manual check
T1486, T1587.001, T1590

IOCs:
File: 3