#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7, code: 7, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Chaos RAT - это троян для удаленного доступа, предназначенный для Linux и Windows, использующий критическую уязвимость для удаленного выполнения кода. Он распространяется с помощью фишинговых сообщений электронной почты, имеет механизмы сохранения и использует команды двух операционных систем для выполнения операций. Открытый исходный код Chaos RAT, недостатки в его серверной части и низкий уровень обнаружения вызывают опасения по поводу его использования APT-группами.
-----

Появились новые варианты троянской программы удаленного доступа Chaos RAT, нацеленной как на Linux, так и на Windows. В веб-панели программы имеется критическая уязвимость, которая позволяет выполнять произвольный удаленный код на сервере. Chaos RAT распространяется в основном через фишинговые электронные письма с вредоносными ссылками или вложениями. Он изменяет системный планировщик задач для обеспечения постоянства, позволяя обновлять полезную нагрузку без физического доступа. Последний вариант был распространен в виде сжатого файла, замаскированного под утилиту для устранения неполадок в сети, предназначенную для пользователей Linux. Chaos RAT, разработанный в Golang, обладает кроссплатформенной поддержкой и административной панелью для управления полезной нагрузкой и сеансами. Его архитектура напоминает Cobalt Strike и Sliver, что облегчает шпионаж, кражу данных и внедрение программ-вымогателей. Он использует определенные команды для выполнения операционных задач, в зависимости от операционной системы, таких как завершение работы системы в Windows и манипуляции с файлами в Linux. Ошибка в функции BuildClient позволяет вводить команды из-за неправильной проверки ввода. Уязвимость межсайтового скриптинга (XSS) позволяет внедрять вредоносные скрипты в данные агента. Ее открытый исходный код увеличивает риск модификации для различных киберпреступных действий. Инструмент работает скрытно с низким уровнем обнаружения и потенциально может использоваться группами APT, такими как APT41 и APT10. Последние обновления в конфигурациях командно-диспетчерского управления указывают на непрерывную эволюцию средств защиты от кибербезопасности.

#ParsedReport #CompletenessLow
08-06-2025

Scattered Spider Targets Tech Companies for Help-Desk Exploitation - ReliaQuest

https://reliaquest.com/blog/scattered-spider-cyber-attacks-using-phishing-social-engineering-2025/

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated)
Dragonforce

Threats:
Evilginx_tool
Sim_swapping_technique
Typosquatting_technique
Blackcat
Ransomhub
Simplehelp_tool
Supply_chain_technique

Victims:
Marks & spencer, Co-op, Harrods, It contractors, Managed service providers, Reliaquest customers, Tcs

Industry:
Retail, Financial

Geo:
Russian, Russia, Moscow

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1078.002, T1078.003, T1098.001, T1110, T1110.001, T1111, T1136.001, T1136.003, have more...

Soft:
servicenow, ESXi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Scattered Spider - это финансово мотивированная киберпреступная группировка, нацеленная на технический, финансовый и розничный секторы, использующая методы социальной инженерии и фишинга, в частности, через Evilginx в обход MFA. В своих операциях они используют поставщиков управляемых услуг, нацеливаясь на ценные учетные данные с помощью передовых методов, таких как вишинг и уязвимости в программном обеспечении для удаленного управления. Организациям следует усилить меры безопасности и обучение для устранения этих возникающих угроз.
-----

Scattered Spider - это финансово мотивированная киберпреступная группировка, нацеленная на технологии, финансы и розничную торговлю. Они специализируются на краже ценных учетных данных системных администраторов и руководителей. Их атаки в значительной степени основаны на социальной инженерии и фишинге, используя такие инструменты, как Evilginx, для обхода многофакторной аутентификации. Примерно 81% их доменов выдают себя за поставщиков технологий, а для обмана жертв используется такая тактика, как тайпсквоттинг.

Группа использует поставщиков управляемых услуг и ИТ-подрядчиков для взлома нескольких клиентских сетей с помощью одной компрометации. Они были связаны со значительными киберинцидентами в Великобритании и США, хотя прямая причастность к ним не подтверждена. Их операционная инфраструктура демонстрирует переход от регистрации доменов через дефис к регистрации доменов на основе поддоменов, чтобы избежать обнаружения.

Из более чем 600 проанализированных доменов около 35% были нацелены на технологические компании, в то время как 20% были нацелены на финансы, а 15% - на розничную торговлю. Фишинговые методы Scattered Spider включают в себя advance frameworks, получение учетных данных с помощью поддельных страниц входа. Кроме того, они используют методы вымогательства, манипулируя сотрудниками с помощью изученных профилей в социальных сетях.

Сотрудничество с российскими организациями, занимающимися киберпреступностью, повышает эффективность их деятельности. Последние методы включают использование уязвимостей в программном обеспечении для удаленного управления, таком как SimpleHelp, для развертывания программ-вымогателей. Они сосредоточены на приобретении специализированных доменов для конкретных целей и используют автоматизированный мониторинг для быстрого обнаружения вторжений. Рекомендации по снижению рисков включают аутентификацию на основе рисков, расширенное обучение социальной инженерии и внедрение надежных мер безопасности. Постоянная бдительность и проактивная защита необходимы против тактики рассеянных пауков.

#ParsedReport #CompletenessHigh
08-06-2025

The Golden Eye Dog (APT-Q-27) group recently used the "Silver Fox" Trojan to steal secrets

https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247515029&idx=1&sn=41ca43a966c86bed0a8229ada062a316

Report completeness: High

Actors/Campaigns:
Golden_eyed_dog
Silver_fox
Miuuti

Threats:
Raindrop_tool
Watering_hole_technique
Todesk_tool
Winos
Ollvm_tool

Geo:
China, Asia, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.001, T1071.001, T1082, T1105, T1189, T1218.011, T1496, T1499, have more...

IOCs:
File: 16
Hash: 10
Path: 1
IP: 6
Registry: 1
Url: 1
Domain: 1

Soft:
QuickConnect VPN, Windows Defender, NET Framework, Android

Algorithms:
md5, zip

Languages:
delphi, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4, code: 15, table: 2, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-Q-27, также известный как Golden Eye Dog, нацелен на сектор азартных игр и сборищ собак, используя DDoS-атаки и распространение вредоносного ПО с помощью методов "водопоя". Их вредоносные программы, включая трояны Winos4.0, используют передовые методы обфускации и защиты от обнаружения, включая такие инструменты, как Config.ini и Insttect.exe. Связь с серверами C2 осуществляется по определенным IP-адресам и портам, что позволяет осуществлять фильтрацию данных и постоянный контроль.
-----

Хакерская группа, известная как Golden Eye Dog, идентифицированная как APT-Q-27, активно атакует игорный бизнес и сектор, занимающийся продажей собак, используя различные методы атак, такие как дистанционное управление, майнинг криптовалют и распределенные атаки типа "отказ в обслуживании" (DDoS). Их подход включает в себя использование методов "водопоя" для распространения вредоносных программ и внедрения троянских программ, эффективно компрометирующих пользовательские системы. Вредоносное ПО, разработанное этой группой, создано с использованием таких языков программирования, как .NET, C++, Go и Delphi, что свидетельствует о глубоком понимании разработки программного обеспечения и механизмов защиты от обнаружения.

Заметным компонентом их вредоносного ПО является конфигурационный файл Config.ini, который работает как шелл-код, загружающий переносимый исполняемый файл (PE). Этот исполняемый файл обращается к экспортированной функции из библиотеки динамической компоновки (DLL) под названием "VFPower", которая также важна для создания мьютекса с именем "zhuxianlu". Одно из их недавних направлений атаки было связано с развертыванием вредоносного установочного пакета, замаскированного под Todesk, который в дальнейшем внедряет троянскую программу Winos4.0. Скомпилированные исполняемые файлы часто превышают 30 МБ и, по-видимому, в основном написаны на C++, демонстрируя поведение, указывающее на сетевые возможности и выполнение команд PowerShell.

Связь с сервером управления (C2) устанавливается через IP-адрес (120.89.71.226) и использует несколько портов, включая 8852, 9090, 18852 и 18853. Кроме того, вредоносная программа демонстрирует отличительную черту семейства троянских программ "Silver Fox", добавляя диск C в каталог исключений антивирусов, что обеспечивает ей определенную степень защиты от обнаружения средствами безопасности. Важную роль в работе этой вредоносной программы играет важный исполняемый файл, известный как Insttect.exe, который загружает файл с именем Single.ini для облегчения выполнения шеллкода и вызова функции VFPower из библиотеки DLL.

Сам шеллкод обфускируется с помощью OLLVM, который представляет собой сложный уровень защиты, предназначенный для предотвращения обратного проектирования и анализа. Бэкдор, созданный этим вредоносным ПО, не только обеспечивает дальнейшую загрузку вредоносных программ, но и обеспечивает непрерывную связь с сервером C2, одновременно регистрируя дополнительные вредоносные DLL-файлы в скомпрометированной системе. Вредоносное ПО также предназначено для сбора и передачи машинных данных, что повышает его функциональность и устойчивость в зараженных средах. Группа использует как конкретные IP-адреса для своих операций C2, так и доменные имена, что иллюстрирует многогранную стратегию поддержания контроля над скомпрометированными активами.

#ParsedReport #CompletenessLow
08-06-2025

iProov Threat Intelligence Uncovers Grey Nickel Threat Actor Targeting Banking, Crypto, and Payment Platforms

https://www.iproov.com/press/threat-intelligence-grey-nickel-targeting-banking-crypto-payment-platforms

Report completeness: Low

Actors/Campaigns:
Playful_taurus (motivation: cyber_criminal)

Industry:
Financial

Geo:
United kingdom, America, Asia, Asia-pacific, London, Emea

ChatGPT TTPs:
do not use without manual check
T1036, T1056.002, T1078, T1113, T1204.001, T1204.002, T1566

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступная группировка "Серый никель" нацелена на финансовые учреждения по всему миру, используя уязвимости для удаленной проверки личности с помощью обмена лицами и манипулирования видеопотоками в обход процедур KYC. Их деятельность основана на модели "глубокой подделки как услуги", которая использует украденные базы данных идентификационных данных для облегчения крупномасштабного мошенничества с личными данными, что приводит к значительным финансовым потерям для организаций.
-----

Киберпреступная операция, известная как "Серый никель", активно нацелена на финансовые учреждения по всему миру, особенно в Азиатско-Тихоокеанском регионе, а недавние действия были отмечены в Северной Америке и регионе EMEA. Эта изощренная хакерская группа использует передовые методы для использования уязвимостей в системах удаленной проверки личности, стремясь обойти процедуры "Знай своего клиента" (KYC). С июля 2023 года Grey Nickel сосредоточилась на банках, криптовалютных биржах, электронных кошельках и цифровых платежных платформах, используя технологию обмена лицами и манипулирование метаданными, чтобы обойти системы определения подлинности, которые обычно используются для верификации.

Криминальные сети разработали мобильные приложения, способные обходить проверку KYC как на платформах Android, так и на iOS. Эти приложения внедряют в процесс проверки предварительно записанные или обработанные видеопотоки, которые становятся все более совершенными и включают функции синхронизации по губам, чтобы обойти проблемы с аутентификацией на основе голоса. Операции основаны на модели "Подделка как услуга", когда независимые субъекты предлагают индивидуальные услуги по созданию подделок в рамках своих пакетов обхода KYC, предназначенных специально для финансовых учреждений. Этот подход использует украденные базы данных идентификационных данных и носители, созданные с помощью искусственного интеллекта, для создания синтетических идентификационных данных, которые облегчают крупномасштабное мошенничество с личными данными.

Последние данные указывают на тревожную тенденцию: в отчетах говорится о значительных финансовых потерях из-за мошенничества с использованием искусственного интеллекта, включая случай, произошедший в 2024 году, когда мошенники выдавали себя за руководителей компании, чтобы обмануть фирму на сумму 25,6 миллиона долларов. Опросы показывают, что в 2023 году более половины финансовых организаций понесли убытки в размере от 5 до 25 миллионов долларов из-за атак с использованием искусственного интеллекта. Кроме того, в отчете Организации Объединенных Наций зафиксирован 600-процентный рост преступной деятельности, связанной с deepfake, в Юго-Восточной Азии в первой половине 2024 года, что подчеркивает тревожную эскалацию преступлений, связанных с использованием искусственного интеллекта.

Одной из основных проблем в борьбе с этими угрозами является непоследовательная и зачастую неадекватная отчетность финансовых учреждений. Отсутствие всеобъемлющей отчетности об инцидентах затрудняет понимание регулирующими органами масштабов киберпреступности, что препятствует эффективному реагированию со стороны регулирующих органов. В то время как такие регионы, как Европейский союз, добиваются успехов во внедрении надежных решений для идентификации цифровых данных в соответствии с требованиями законодательства о борьбе с отмыванием денег, многие страны остаются позади. Такое неравенство создает возможности для киберпреступников и подчеркивает настоятельную необходимость расширения международного сотрудничества и обмена данными для совершенствования мер безопасности и нормативно-правовой базы в секторе финансовых услуг.

#ParsedReport #CompletenessLow
08-06-2025

NightSpire Ransomware Encrypts Cloud-Stored OneDrive Files

https://www.sonicwall.com/blog/nightspire-ransomware-encrypts-onedrive-files

Report completeness: Low

Threats:
Nightspire

Victims:
Facility services organization

Geo:
Spain

ChatGPT TTPs:
do not use without manual check
T1486, T1587.001, T1590

IOCs:
File: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NightSpire - это быстро развивающаяся программа-вымогатель, обнаруженная в марте 2023 года, которая затрагивает более 45 жертв, шифруя файлы и предоставляя инструкции по восстановлению. Разработанная на Go и распространяемая в виде портативного исполняемого файла, ее хакеры работают в сети Tor, ведя блог, в котором перечислены жертвы и обновления. SonicWall создала сигнатуры для обнаружения этой программы-вымогателя, что подчеркивает необходимость внедрения организациями проактивной защиты.
-----

NightSpire - это быстро развивающаяся разновидность программы-вымогателя, впервые обнаруженная в марте 2023 года, жертвами которой уже стали более 45 человек по всему миру. Эта вредоносная программа шифрует пользовательские файлы и отправляет инструкции по восстановлению с помощью текстового файла, что является распространенным методом среди разновидностей программ-вымогателей. NightSpire упакован в виде портативного исполняемого файла и разработан на Go, что может облегчить его развертывание в различных системах.

Хакеры, связанные с NightSpire, установили свое присутствие в сети Tor, где они ведут блог, который служит как платформой для объявлений, так и хранилищем обновлений, касающихся деятельности программы-вымогателя. В блоге подробно перечислены известные жертвы, последней из которых является организация facility services в Испании. До сих пор группа оставалась закрытой в своей деятельности, о чем свидетельствует страница "О компании". Однако быстрый рост их активности свидетельствует о потенциале будущего расширения, которое может включать привлечение филиалов, работающих на международном уровне.

В ответ на эту возникающую угрозу SonicWall Capture Labs разработала специальные сигнатуры, направленные на обнаружение и нейтрализацию программы-вымогателя NightSpire. Учитывая динамику развития группы и тревожный уровень заражения, постоянный мониторинг и стратегии проактивной защиты необходимы организациям для защиты своих сетей от этого развивающегося вредоносного ПО.

#ParsedReport #CompletenessMedium
08-06-2025

DarkGaboon: Cyberviper's Venom in the Digital Veins of Russian Companies

https://habr.com/ru/companies/pt/articles/915992/

Report completeness: Medium

Actors/Campaigns:
Darkgaboon

Threats:
Lockbit
Dotnet_reactor_tool
Xworm_rat
Themida_tool
Homoglyph_technique

Victims:
Russian companies, Employees in financial departments

Geo:
Seychelles, African, Russian, American, Russia, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1027, T1046, T1071.001, T1082, T1105, T1204.002, T1486, T1566.001, T1583.001

IOCs:
Domain: 57
Hash: 48
IP: 2

Soft:
NET Reactor, Phpmailer, CPanel, Gmail

Algorithms:
aes-ecb, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа DarkGaboon APT нацелилась на российские компании, используя передовую тактику фишинга, размещая вложения в формате RTF, содержащие сообщения Revenge и XWorm RATs. Они используют программу-вымогательницу LockBit 3.0 для шифрования и общаются преимущественно на русском языке, что исключает возможность утечки данных. Их инфраструктура включает в себя недавно зарегистрированные домены .ru и использует инструменты с открытым исходным кодом, работая независимо от распространенных моделей RaaS.
-----

В январе 2023 года расследования выявили продолжающиеся кибератаки группы DarkGaboon APT на российские компании, о которых впервые стало известно весной 2023 года. Эти атаки включали в себя передовые и эволюционирующие тактики, методы и процедуры (TTP), хотя в более ранних анализах отсутствовали подробные сведения о полной цепочке уничтожения атак. Последующие расследования, проведенные Отделом комплексного реагирования на хакерские атаки, выявили важные компоненты деятельности DarkGaboon, включая сетевой сканер, известный как NS, и шифровальщик LockBit.

DarkGaboon в первую очередь нацелен на сотрудников финансовых отделов, используя фишинговые электронные письма на русском языке, часто с вложениями срочных документов. Вложения обычно состоят из документов-приманки в формате RTF и scr-файлов, содержащих запутанные версии Revenge и XWorm RAT (троян удаленного доступа). В этих вредоносных файлах используются различные методы обмана, такие как использование одинаковых имен, поддельных изображений в формате PDF и недействительных сертификатов X.509, предположительно связанных с законными российскими юридическими лицами. С 2023 года постоянно используются документы в формате RTF, созданные на основе подлинных финансовых шаблонов. После успешного вторжения Даркгабун проводит внутреннюю разведку с помощью этих крыс.

В развертывании RAT используется UPX для упаковки, дешифрования с помощью AES-ECB и использования определенного хэша MD5 для ключа шифрования (например, "oKuQzNc8L6QcYdrA5"). Использование группой NS network scanner было отмечено с 2019 года и является распространенным явлением среди киберпреступников. DarkGaboon шифрует файлы, используя версию программы-вымогателя LockBit 3.0, и общается с жертвами с помощью русскоязычных заметок, в которых содержатся инструкции по расшифровке и контакты по электронной почте, а также указаны индикаторы утечки данных.

Вредоносные электронные письма рассылаются с SMTP-сервера, расположенного в России, с использованием таких инструментов, как Phpmailer, и доменов .ru, многие из которых недавно зарегистрированы. Инфраструктура группы также включает в себя услуги динамического DNS и решение для виртуального хостинга Windows, арендованное у американского провайдера, с некоторыми компонентами, связанными с регистрацией на Сейшельских островах. Примечательно, что домен Room155.online был зарегистрирован в марте 2023 года и связан с трафиком, связанным с атаками.

На протяжении всех инцидентов сообщения повторяли предыдущие действия, но в них отсутствовали конкретные идентификаторы, которые могли бы связать их с нападавшими. Несмотря на то, что DarkGaboon использует инструменты с открытым исходным кодом, такие как Revenge, XWORM и LockBit Clinker, он работает независимо и, похоже, не следует типичным методам извлечения данных, связанным с моделями "программы-вымогатели как услуга" (RaaS). Ожидается, что DarkGaboon продолжит свою деятельность в отношении российских предприятий, а соответствующие органы по кибербезопасности планируют осуществлять постоянный мониторинг.

#ParsedReport #CompletenessMedium
08-06-2025

Over 20 Crypto Phishing Applications Found on the Play Store Stealing Mnemonic Phrases

https://cyble.com/blog/crypto-phishing-applications-on-the-play-store/

Report completeness: Medium

Threats:
Typosquatting_technique

Victims:
Crypto wallet users

Industry:
Entertainment, Financial

ChatGPT TTPs:
do not use without manual check
T1078.003, T1407, T1444, T1566.001, T1584

IOCs:
File: 21
Url: 14
IP: 1
Domain: 32
Hash: 2

Soft:
Raydium, Google Play, android

Crypto:
pancakeswap

Algorithms:
exhibit, sha1, md5, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4