#ParsedReport #CompletenessMedium
08-06-2025

Analysis of Spyware That Helped to Compromise a Syrian Army from Within

https://www.mobile-hacker.com/2025/06/05/analysis-of-spyware-that-helped-to-compromise-a-syrian-army-from-within/

Report completeness: Medium

Threats:
Spymax
Spynote_rat

Victims:
Syrian army officers, Syrian army soldiers, Syrian military institution

Industry:
Military

Geo:
Syrian, Syria

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1071.001, T1074.001, T1123, T1125, T1204.001, T1566.001

IOCs:
Domain: 3
Hash: 6

Soft:
Telegram, Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Шпионская программа STFD-686, связанная с Android SpyMax, распространялась через Telegram среди офицеров сирийской армии под видом приложения для оказания финансовой помощи. Он извлекал конфиденциальные военные данные с помощью обманной тактики, позволяя злоумышленникам составлять карты дислокации войск и оценивать военные структуры, демонстрируя тем самым эффективность недорогих инструментов кибершпионажа.
-----

STFD-686 - это шпионское приложение, связанное с Android SpyMax и используемое для кибершпионажа против сирийских военных. Приложение распространялось среди солдат через Telegram под видом гуманитарной инициативы, предлагающей финансовую помощь. Программа эффективно удаляла конфиденциальные военные данные, включая воинские звания и местоположение подразделений. Android SpyMax, входящий в семейство вредоносных программ SpyNote, обеспечивает полный контроль над зараженными устройствами, включая слежку и GPS-отслеживание. Первоначально вредоносное ПО распространялось на подпольных форумах, прежде чем стало общедоступным. Во время установки программа запрашивала расширенные разрешения, а затем отображала фишинговые интерфейсы для извлечения конфиденциальной информации. Вредоносная программа взаимодействовала с двумя доменами: одним для фишинга и одним в качестве сервера управления (C&C). При необходимости она динамически извлекает дополнительные вредоносные данные с сервера управления. Целью SpyMax был сбор разведывательной информации о дислокации войск и структуре высокопоставленных офицеров, используя недорогостоящие инструменты для получения значительного стратегического эффекта.

#ParsedReport #CompletenessMedium
08-06-2025

From open-source to open threat: Tracking Chaos RATs evolution

https://www.acronis.com/en-us/cyber-protection-center/posts/from-open-source-to-open-threat-tracking-chaos-rats-evolution/

Report completeness: Medium

Actors/Campaigns:
Winnti
Transparenttribe
Stone_panda
Blindeagle
Oilrig
Charming_kitten

Threats:
Chaos_rat
Cobalt_strike_tool
Sliver_c2_tool
Chaos_ransomware
Njrat
Quasar_rat
Asyncrat
Pupy_rat

Geo:
French, Brazil, Portuguese, India, Spain, Japanese, Spanish, Italian

CVEs:
CVE-2024-31839 [Vulners]
CVSS V3.1: 4.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-30850 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1053.003, T1055.008, T1059.003, T1059.004, T1071.001, T1090, T1105, T1185, have more...

IOCs:
Hash: 20
File: 5
IP: 2

Soft:
Linux, task scheduler, macOS, Ubuntu

Algorithms:
sha256, base64

Functions:
ReadDir

Win API:
LockWorkStation

Languages:
golang, javascript

Platforms:
cross-platform

YARA: Found

Links:
https://github.com/kbinani/screenshot

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7, code: 7, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Chaos RAT - это троян для удаленного доступа, предназначенный для Linux и Windows, использующий критическую уязвимость для удаленного выполнения кода. Он распространяется с помощью фишинговых сообщений электронной почты, имеет механизмы сохранения и использует команды двух операционных систем для выполнения операций. Открытый исходный код Chaos RAT, недостатки в его серверной части и низкий уровень обнаружения вызывают опасения по поводу его использования APT-группами.
-----

Появились новые варианты троянской программы удаленного доступа Chaos RAT, нацеленной как на Linux, так и на Windows. В веб-панели программы имеется критическая уязвимость, которая позволяет выполнять произвольный удаленный код на сервере. Chaos RAT распространяется в основном через фишинговые электронные письма с вредоносными ссылками или вложениями. Он изменяет системный планировщик задач для обеспечения постоянства, позволяя обновлять полезную нагрузку без физического доступа. Последний вариант был распространен в виде сжатого файла, замаскированного под утилиту для устранения неполадок в сети, предназначенную для пользователей Linux. Chaos RAT, разработанный в Golang, обладает кроссплатформенной поддержкой и административной панелью для управления полезной нагрузкой и сеансами. Его архитектура напоминает Cobalt Strike и Sliver, что облегчает шпионаж, кражу данных и внедрение программ-вымогателей. Он использует определенные команды для выполнения операционных задач, в зависимости от операционной системы, таких как завершение работы системы в Windows и манипуляции с файлами в Linux. Ошибка в функции BuildClient позволяет вводить команды из-за неправильной проверки ввода. Уязвимость межсайтового скриптинга (XSS) позволяет внедрять вредоносные скрипты в данные агента. Ее открытый исходный код увеличивает риск модификации для различных киберпреступных действий. Инструмент работает скрытно с низким уровнем обнаружения и потенциально может использоваться группами APT, такими как APT41 и APT10. Последние обновления в конфигурациях командно-диспетчерского управления указывают на непрерывную эволюцию средств защиты от кибербезопасности.

#ParsedReport #CompletenessLow
08-06-2025

Scattered Spider Targets Tech Companies for Help-Desk Exploitation - ReliaQuest

https://reliaquest.com/blog/scattered-spider-cyber-attacks-using-phishing-social-engineering-2025/

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated)
Dragonforce

Threats:
Evilginx_tool
Sim_swapping_technique
Typosquatting_technique
Blackcat
Ransomhub
Simplehelp_tool
Supply_chain_technique

Victims:
Marks & spencer, Co-op, Harrods, It contractors, Managed service providers, Reliaquest customers, Tcs

Industry:
Retail, Financial

Geo:
Russian, Russia, Moscow

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1078.002, T1078.003, T1098.001, T1110, T1110.001, T1111, T1136.001, T1136.003, have more...

Soft:
servicenow, ESXi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Scattered Spider - это финансово мотивированная киберпреступная группировка, нацеленная на технический, финансовый и розничный секторы, использующая методы социальной инженерии и фишинга, в частности, через Evilginx в обход MFA. В своих операциях они используют поставщиков управляемых услуг, нацеливаясь на ценные учетные данные с помощью передовых методов, таких как вишинг и уязвимости в программном обеспечении для удаленного управления. Организациям следует усилить меры безопасности и обучение для устранения этих возникающих угроз.
-----

Scattered Spider - это финансово мотивированная киберпреступная группировка, нацеленная на технологии, финансы и розничную торговлю. Они специализируются на краже ценных учетных данных системных администраторов и руководителей. Их атаки в значительной степени основаны на социальной инженерии и фишинге, используя такие инструменты, как Evilginx, для обхода многофакторной аутентификации. Примерно 81% их доменов выдают себя за поставщиков технологий, а для обмана жертв используется такая тактика, как тайпсквоттинг.

Группа использует поставщиков управляемых услуг и ИТ-подрядчиков для взлома нескольких клиентских сетей с помощью одной компрометации. Они были связаны со значительными киберинцидентами в Великобритании и США, хотя прямая причастность к ним не подтверждена. Их операционная инфраструктура демонстрирует переход от регистрации доменов через дефис к регистрации доменов на основе поддоменов, чтобы избежать обнаружения.

Из более чем 600 проанализированных доменов около 35% были нацелены на технологические компании, в то время как 20% были нацелены на финансы, а 15% - на розничную торговлю. Фишинговые методы Scattered Spider включают в себя advance frameworks, получение учетных данных с помощью поддельных страниц входа. Кроме того, они используют методы вымогательства, манипулируя сотрудниками с помощью изученных профилей в социальных сетях.

Сотрудничество с российскими организациями, занимающимися киберпреступностью, повышает эффективность их деятельности. Последние методы включают использование уязвимостей в программном обеспечении для удаленного управления, таком как SimpleHelp, для развертывания программ-вымогателей. Они сосредоточены на приобретении специализированных доменов для конкретных целей и используют автоматизированный мониторинг для быстрого обнаружения вторжений. Рекомендации по снижению рисков включают аутентификацию на основе рисков, расширенное обучение социальной инженерии и внедрение надежных мер безопасности. Постоянная бдительность и проактивная защита необходимы против тактики рассеянных пауков.

#ParsedReport #CompletenessHigh
08-06-2025

The Golden Eye Dog (APT-Q-27) group recently used the "Silver Fox" Trojan to steal secrets

https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247515029&idx=1&sn=41ca43a966c86bed0a8229ada062a316

Report completeness: High

Actors/Campaigns:
Golden_eyed_dog
Silver_fox
Miuuti

Threats:
Raindrop_tool
Watering_hole_technique
Todesk_tool
Winos
Ollvm_tool

Geo:
China, Asia, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.001, T1071.001, T1082, T1105, T1189, T1218.011, T1496, T1499, have more...

IOCs:
File: 16
Hash: 10
Path: 1
IP: 6
Registry: 1
Url: 1
Domain: 1

Soft:
QuickConnect VPN, Windows Defender, NET Framework, Android

Algorithms:
md5, zip

Languages:
delphi, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4, code: 15, table: 2, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-Q-27, также известный как Golden Eye Dog, нацелен на сектор азартных игр и сборищ собак, используя DDoS-атаки и распространение вредоносного ПО с помощью методов "водопоя". Их вредоносные программы, включая трояны Winos4.0, используют передовые методы обфускации и защиты от обнаружения, включая такие инструменты, как Config.ini и Insttect.exe. Связь с серверами C2 осуществляется по определенным IP-адресам и портам, что позволяет осуществлять фильтрацию данных и постоянный контроль.
-----

Хакерская группа, известная как Golden Eye Dog, идентифицированная как APT-Q-27, активно атакует игорный бизнес и сектор, занимающийся продажей собак, используя различные методы атак, такие как дистанционное управление, майнинг криптовалют и распределенные атаки типа "отказ в обслуживании" (DDoS). Их подход включает в себя использование методов "водопоя" для распространения вредоносных программ и внедрения троянских программ, эффективно компрометирующих пользовательские системы. Вредоносное ПО, разработанное этой группой, создано с использованием таких языков программирования, как .NET, C++, Go и Delphi, что свидетельствует о глубоком понимании разработки программного обеспечения и механизмов защиты от обнаружения.

Заметным компонентом их вредоносного ПО является конфигурационный файл Config.ini, который работает как шелл-код, загружающий переносимый исполняемый файл (PE). Этот исполняемый файл обращается к экспортированной функции из библиотеки динамической компоновки (DLL) под названием "VFPower", которая также важна для создания мьютекса с именем "zhuxianlu". Одно из их недавних направлений атаки было связано с развертыванием вредоносного установочного пакета, замаскированного под Todesk, который в дальнейшем внедряет троянскую программу Winos4.0. Скомпилированные исполняемые файлы часто превышают 30 МБ и, по-видимому, в основном написаны на C++, демонстрируя поведение, указывающее на сетевые возможности и выполнение команд PowerShell.

Связь с сервером управления (C2) устанавливается через IP-адрес (120.89.71.226) и использует несколько портов, включая 8852, 9090, 18852 и 18853. Кроме того, вредоносная программа демонстрирует отличительную черту семейства троянских программ "Silver Fox", добавляя диск C в каталог исключений антивирусов, что обеспечивает ей определенную степень защиты от обнаружения средствами безопасности. Важную роль в работе этой вредоносной программы играет важный исполняемый файл, известный как Insttect.exe, который загружает файл с именем Single.ini для облегчения выполнения шеллкода и вызова функции VFPower из библиотеки DLL.

Сам шеллкод обфускируется с помощью OLLVM, который представляет собой сложный уровень защиты, предназначенный для предотвращения обратного проектирования и анализа. Бэкдор, созданный этим вредоносным ПО, не только обеспечивает дальнейшую загрузку вредоносных программ, но и обеспечивает непрерывную связь с сервером C2, одновременно регистрируя дополнительные вредоносные DLL-файлы в скомпрометированной системе. Вредоносное ПО также предназначено для сбора и передачи машинных данных, что повышает его функциональность и устойчивость в зараженных средах. Группа использует как конкретные IP-адреса для своих операций C2, так и доменные имена, что иллюстрирует многогранную стратегию поддержания контроля над скомпрометированными активами.

#ParsedReport #CompletenessLow
08-06-2025

iProov Threat Intelligence Uncovers Grey Nickel Threat Actor Targeting Banking, Crypto, and Payment Platforms

https://www.iproov.com/press/threat-intelligence-grey-nickel-targeting-banking-crypto-payment-platforms

Report completeness: Low

Actors/Campaigns:
Playful_taurus (motivation: cyber_criminal)

Industry:
Financial

Geo:
United kingdom, America, Asia, Asia-pacific, London, Emea

ChatGPT TTPs:
do not use without manual check
T1036, T1056.002, T1078, T1113, T1204.001, T1204.002, T1566

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступная группировка "Серый никель" нацелена на финансовые учреждения по всему миру, используя уязвимости для удаленной проверки личности с помощью обмена лицами и манипулирования видеопотоками в обход процедур KYC. Их деятельность основана на модели "глубокой подделки как услуги", которая использует украденные базы данных идентификационных данных для облегчения крупномасштабного мошенничества с личными данными, что приводит к значительным финансовым потерям для организаций.
-----

Киберпреступная операция, известная как "Серый никель", активно нацелена на финансовые учреждения по всему миру, особенно в Азиатско-Тихоокеанском регионе, а недавние действия были отмечены в Северной Америке и регионе EMEA. Эта изощренная хакерская группа использует передовые методы для использования уязвимостей в системах удаленной проверки личности, стремясь обойти процедуры "Знай своего клиента" (KYC). С июля 2023 года Grey Nickel сосредоточилась на банках, криптовалютных биржах, электронных кошельках и цифровых платежных платформах, используя технологию обмена лицами и манипулирование метаданными, чтобы обойти системы определения подлинности, которые обычно используются для верификации.

Криминальные сети разработали мобильные приложения, способные обходить проверку KYC как на платформах Android, так и на iOS. Эти приложения внедряют в процесс проверки предварительно записанные или обработанные видеопотоки, которые становятся все более совершенными и включают функции синхронизации по губам, чтобы обойти проблемы с аутентификацией на основе голоса. Операции основаны на модели "Подделка как услуга", когда независимые субъекты предлагают индивидуальные услуги по созданию подделок в рамках своих пакетов обхода KYC, предназначенных специально для финансовых учреждений. Этот подход использует украденные базы данных идентификационных данных и носители, созданные с помощью искусственного интеллекта, для создания синтетических идентификационных данных, которые облегчают крупномасштабное мошенничество с личными данными.

Последние данные указывают на тревожную тенденцию: в отчетах говорится о значительных финансовых потерях из-за мошенничества с использованием искусственного интеллекта, включая случай, произошедший в 2024 году, когда мошенники выдавали себя за руководителей компании, чтобы обмануть фирму на сумму 25,6 миллиона долларов. Опросы показывают, что в 2023 году более половины финансовых организаций понесли убытки в размере от 5 до 25 миллионов долларов из-за атак с использованием искусственного интеллекта. Кроме того, в отчете Организации Объединенных Наций зафиксирован 600-процентный рост преступной деятельности, связанной с deepfake, в Юго-Восточной Азии в первой половине 2024 года, что подчеркивает тревожную эскалацию преступлений, связанных с использованием искусственного интеллекта.

Одной из основных проблем в борьбе с этими угрозами является непоследовательная и зачастую неадекватная отчетность финансовых учреждений. Отсутствие всеобъемлющей отчетности об инцидентах затрудняет понимание регулирующими органами масштабов киберпреступности, что препятствует эффективному реагированию со стороны регулирующих органов. В то время как такие регионы, как Европейский союз, добиваются успехов во внедрении надежных решений для идентификации цифровых данных в соответствии с требованиями законодательства о борьбе с отмыванием денег, многие страны остаются позади. Такое неравенство создает возможности для киберпреступников и подчеркивает настоятельную необходимость расширения международного сотрудничества и обмена данными для совершенствования мер безопасности и нормативно-правовой базы в секторе финансовых услуг.

#ParsedReport #CompletenessLow
08-06-2025

NightSpire Ransomware Encrypts Cloud-Stored OneDrive Files

https://www.sonicwall.com/blog/nightspire-ransomware-encrypts-onedrive-files

Report completeness: Low

Threats:
Nightspire

Victims:
Facility services organization

Geo:
Spain

ChatGPT TTPs:
do not use without manual check
T1486, T1587.001, T1590

IOCs:
File: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NightSpire - это быстро развивающаяся программа-вымогатель, обнаруженная в марте 2023 года, которая затрагивает более 45 жертв, шифруя файлы и предоставляя инструкции по восстановлению. Разработанная на Go и распространяемая в виде портативного исполняемого файла, ее хакеры работают в сети Tor, ведя блог, в котором перечислены жертвы и обновления. SonicWall создала сигнатуры для обнаружения этой программы-вымогателя, что подчеркивает необходимость внедрения организациями проактивной защиты.
-----

NightSpire - это быстро развивающаяся разновидность программы-вымогателя, впервые обнаруженная в марте 2023 года, жертвами которой уже стали более 45 человек по всему миру. Эта вредоносная программа шифрует пользовательские файлы и отправляет инструкции по восстановлению с помощью текстового файла, что является распространенным методом среди разновидностей программ-вымогателей. NightSpire упакован в виде портативного исполняемого файла и разработан на Go, что может облегчить его развертывание в различных системах.

Хакеры, связанные с NightSpire, установили свое присутствие в сети Tor, где они ведут блог, который служит как платформой для объявлений, так и хранилищем обновлений, касающихся деятельности программы-вымогателя. В блоге подробно перечислены известные жертвы, последней из которых является организация facility services в Испании. До сих пор группа оставалась закрытой в своей деятельности, о чем свидетельствует страница "О компании". Однако быстрый рост их активности свидетельствует о потенциале будущего расширения, которое может включать привлечение филиалов, работающих на международном уровне.

В ответ на эту возникающую угрозу SonicWall Capture Labs разработала специальные сигнатуры, направленные на обнаружение и нейтрализацию программы-вымогателя NightSpire. Учитывая динамику развития группы и тревожный уровень заражения, постоянный мониторинг и стратегии проактивной защиты необходимы организациям для защиты своих сетей от этого развивающегося вредоносного ПО.

#ParsedReport #CompletenessMedium
08-06-2025

DarkGaboon: Cyberviper's Venom in the Digital Veins of Russian Companies

https://habr.com/ru/companies/pt/articles/915992/

Report completeness: Medium

Actors/Campaigns:
Darkgaboon

Threats:
Lockbit
Dotnet_reactor_tool
Xworm_rat
Themida_tool
Homoglyph_technique

Victims:
Russian companies, Employees in financial departments

Geo:
Seychelles, African, Russian, American, Russia, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1027, T1046, T1071.001, T1082, T1105, T1204.002, T1486, T1566.001, T1583.001

IOCs:
Domain: 57
Hash: 48
IP: 2

Soft:
NET Reactor, Phpmailer, CPanel, Gmail

Algorithms:
aes-ecb, md5