#ParsedReport #CompletenessHigh
08-06-2025
The Golden Eye Dog (APT-Q-27) group recently used the "Silver Fox" Trojan to steal secrets
https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247515029&idx=1&sn=41ca43a966c86bed0a8229ada062a316
Report completeness: High
Actors/Campaigns:
Golden_eyed_dog
Silver_fox
Miuuti
Threats:
Raindrop_tool
Watering_hole_technique
Todesk_tool
Winos
Ollvm_tool
Geo:
China, Asia, Chinese
ChatGPT TTPs:
T1027, T1036.005, T1059.001, T1071.001, T1082, T1105, T1189, T1218.011, T1496, T1499, have more...
IOCs:
File: 16
Hash: 10
Path: 1
IP: 6
Registry: 1
Url: 1
Domain: 1
Soft:
QuickConnect VPN, Windows Defender, NET Framework, Android
Algorithms:
md5, zip
Languages:
delphi, powershell
08-06-2025
The Golden Eye Dog (APT-Q-27) group recently used the "Silver Fox" Trojan to steal secrets
https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247515029&idx=1&sn=41ca43a966c86bed0a8229ada062a316
Report completeness: High
Actors/Campaigns:
Golden_eyed_dog
Silver_fox
Miuuti
Threats:
Raindrop_tool
Watering_hole_technique
Todesk_tool
Winos
Ollvm_tool
Geo:
China, Asia, Chinese
ChatGPT TTPs:
do not use without manual checkT1027, T1036.005, T1059.001, T1071.001, T1082, T1105, T1189, T1218.011, T1496, T1499, have more...
IOCs:
File: 16
Hash: 10
Path: 1
IP: 6
Registry: 1
Url: 1
Domain: 1
Soft:
QuickConnect VPN, Windows Defender, NET Framework, Android
Algorithms:
md5, zip
Languages:
delphi, powershell
CTT Report Hub
#ParsedReport #CompletenessHigh 08-06-2025 The Golden Eye Dog (APT-Q-27) group recently used the "Silver Fox" Trojan to steal secrets https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247515029&idx=1&sn=41ca43a966c86bed0a8229ada062a316 Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-Q-27, также известный как Golden Eye Dog, нацелен на сектор азартных игр и сборищ собак, используя DDoS-атаки и распространение вредоносного ПО с помощью методов "водопоя". Их вредоносные программы, включая трояны Winos4.0, используют передовые методы обфускации и защиты от обнаружения, включая такие инструменты, как Config.ini и Insttect.exe. Связь с серверами C2 осуществляется по определенным IP-адресам и портам, что позволяет осуществлять фильтрацию данных и постоянный контроль.
-----
Хакерская группа, известная как Golden Eye Dog, идентифицированная как APT-Q-27, активно атакует игорный бизнес и сектор, занимающийся продажей собак, используя различные методы атак, такие как дистанционное управление, майнинг криптовалют и распределенные атаки типа "отказ в обслуживании" (DDoS). Их подход включает в себя использование методов "водопоя" для распространения вредоносных программ и внедрения троянских программ, эффективно компрометирующих пользовательские системы. Вредоносное ПО, разработанное этой группой, создано с использованием таких языков программирования, как .NET, C++, Go и Delphi, что свидетельствует о глубоком понимании разработки программного обеспечения и механизмов защиты от обнаружения.
Заметным компонентом их вредоносного ПО является конфигурационный файл Config.ini, который работает как шелл-код, загружающий переносимый исполняемый файл (PE). Этот исполняемый файл обращается к экспортированной функции из библиотеки динамической компоновки (DLL) под названием "VFPower", которая также важна для создания мьютекса с именем "zhuxianlu". Одно из их недавних направлений атаки было связано с развертыванием вредоносного установочного пакета, замаскированного под Todesk, который в дальнейшем внедряет троянскую программу Winos4.0. Скомпилированные исполняемые файлы часто превышают 30 МБ и, по-видимому, в основном написаны на C++, демонстрируя поведение, указывающее на сетевые возможности и выполнение команд PowerShell.
Связь с сервером управления (C2) устанавливается через IP-адрес (120.89.71.226) и использует несколько портов, включая 8852, 9090, 18852 и 18853. Кроме того, вредоносная программа демонстрирует отличительную черту семейства троянских программ "Silver Fox", добавляя диск C в каталог исключений антивирусов, что обеспечивает ей определенную степень защиты от обнаружения средствами безопасности. Важную роль в работе этой вредоносной программы играет важный исполняемый файл, известный как Insttect.exe, который загружает файл с именем Single.ini для облегчения выполнения шеллкода и вызова функции VFPower из библиотеки DLL.
Сам шеллкод обфускируется с помощью OLLVM, который представляет собой сложный уровень защиты, предназначенный для предотвращения обратного проектирования и анализа. Бэкдор, созданный этим вредоносным ПО, не только обеспечивает дальнейшую загрузку вредоносных программ, но и обеспечивает непрерывную связь с сервером C2, одновременно регистрируя дополнительные вредоносные DLL-файлы в скомпрометированной системе. Вредоносное ПО также предназначено для сбора и передачи машинных данных, что повышает его функциональность и устойчивость в зараженных средах. Группа использует как конкретные IP-адреса для своих операций C2, так и доменные имена, что иллюстрирует многогранную стратегию поддержания контроля над скомпрометированными активами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-Q-27, также известный как Golden Eye Dog, нацелен на сектор азартных игр и сборищ собак, используя DDoS-атаки и распространение вредоносного ПО с помощью методов "водопоя". Их вредоносные программы, включая трояны Winos4.0, используют передовые методы обфускации и защиты от обнаружения, включая такие инструменты, как Config.ini и Insttect.exe. Связь с серверами C2 осуществляется по определенным IP-адресам и портам, что позволяет осуществлять фильтрацию данных и постоянный контроль.
-----
Хакерская группа, известная как Golden Eye Dog, идентифицированная как APT-Q-27, активно атакует игорный бизнес и сектор, занимающийся продажей собак, используя различные методы атак, такие как дистанционное управление, майнинг криптовалют и распределенные атаки типа "отказ в обслуживании" (DDoS). Их подход включает в себя использование методов "водопоя" для распространения вредоносных программ и внедрения троянских программ, эффективно компрометирующих пользовательские системы. Вредоносное ПО, разработанное этой группой, создано с использованием таких языков программирования, как .NET, C++, Go и Delphi, что свидетельствует о глубоком понимании разработки программного обеспечения и механизмов защиты от обнаружения.
Заметным компонентом их вредоносного ПО является конфигурационный файл Config.ini, который работает как шелл-код, загружающий переносимый исполняемый файл (PE). Этот исполняемый файл обращается к экспортированной функции из библиотеки динамической компоновки (DLL) под названием "VFPower", которая также важна для создания мьютекса с именем "zhuxianlu". Одно из их недавних направлений атаки было связано с развертыванием вредоносного установочного пакета, замаскированного под Todesk, который в дальнейшем внедряет троянскую программу Winos4.0. Скомпилированные исполняемые файлы часто превышают 30 МБ и, по-видимому, в основном написаны на C++, демонстрируя поведение, указывающее на сетевые возможности и выполнение команд PowerShell.
Связь с сервером управления (C2) устанавливается через IP-адрес (120.89.71.226) и использует несколько портов, включая 8852, 9090, 18852 и 18853. Кроме того, вредоносная программа демонстрирует отличительную черту семейства троянских программ "Silver Fox", добавляя диск C в каталог исключений антивирусов, что обеспечивает ей определенную степень защиты от обнаружения средствами безопасности. Важную роль в работе этой вредоносной программы играет важный исполняемый файл, известный как Insttect.exe, который загружает файл с именем Single.ini для облегчения выполнения шеллкода и вызова функции VFPower из библиотеки DLL.
Сам шеллкод обфускируется с помощью OLLVM, который представляет собой сложный уровень защиты, предназначенный для предотвращения обратного проектирования и анализа. Бэкдор, созданный этим вредоносным ПО, не только обеспечивает дальнейшую загрузку вредоносных программ, но и обеспечивает непрерывную связь с сервером C2, одновременно регистрируя дополнительные вредоносные DLL-файлы в скомпрометированной системе. Вредоносное ПО также предназначено для сбора и передачи машинных данных, что повышает его функциональность и устойчивость в зараженных средах. Группа использует как конкретные IP-адреса для своих операций C2, так и доменные имена, что иллюстрирует многогранную стратегию поддержания контроля над скомпрометированными активами.
#ParsedReport #CompletenessLow
08-06-2025
iProov Threat Intelligence Uncovers Grey Nickel Threat Actor Targeting Banking, Crypto, and Payment Platforms
https://www.iproov.com/press/threat-intelligence-grey-nickel-targeting-banking-crypto-payment-platforms
Report completeness: Low
Actors/Campaigns:
Playful_taurus (motivation: cyber_criminal)
Industry:
Financial
Geo:
United kingdom, America, Asia, Asia-pacific, London, Emea
ChatGPT TTPs:
T1036, T1056.002, T1078, T1113, T1204.001, T1204.002, T1566
Soft:
Android
08-06-2025
iProov Threat Intelligence Uncovers Grey Nickel Threat Actor Targeting Banking, Crypto, and Payment Platforms
https://www.iproov.com/press/threat-intelligence-grey-nickel-targeting-banking-crypto-payment-platforms
Report completeness: Low
Actors/Campaigns:
Playful_taurus (motivation: cyber_criminal)
Industry:
Financial
Geo:
United kingdom, America, Asia, Asia-pacific, London, Emea
ChatGPT TTPs:
do not use without manual checkT1036, T1056.002, T1078, T1113, T1204.001, T1204.002, T1566
Soft:
Android
iProov
iProov Threat Intelligence Uncovers "Grey Nickel" Threat Actor Targeting Banking, Crypto, and Payment Platforms | iProov
KYC Processes Exposed in Wave of Sophisticated Financial Sector Attacks
CTT Report Hub
#ParsedReport #CompletenessLow 08-06-2025 iProov Threat Intelligence Uncovers Grey Nickel Threat Actor Targeting Banking, Crypto, and Payment Platforms https://www.iproov.com/press/threat-intelligence-grey-nickel-targeting-banking-crypto-payment-platforms…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберпреступная группировка "Серый никель" нацелена на финансовые учреждения по всему миру, используя уязвимости для удаленной проверки личности с помощью обмена лицами и манипулирования видеопотоками в обход процедур KYC. Их деятельность основана на модели "глубокой подделки как услуги", которая использует украденные базы данных идентификационных данных для облегчения крупномасштабного мошенничества с личными данными, что приводит к значительным финансовым потерям для организаций.
-----
Киберпреступная операция, известная как "Серый никель", активно нацелена на финансовые учреждения по всему миру, особенно в Азиатско-Тихоокеанском регионе, а недавние действия были отмечены в Северной Америке и регионе EMEA. Эта изощренная хакерская группа использует передовые методы для использования уязвимостей в системах удаленной проверки личности, стремясь обойти процедуры "Знай своего клиента" (KYC). С июля 2023 года Grey Nickel сосредоточилась на банках, криптовалютных биржах, электронных кошельках и цифровых платежных платформах, используя технологию обмена лицами и манипулирование метаданными, чтобы обойти системы определения подлинности, которые обычно используются для верификации.
Криминальные сети разработали мобильные приложения, способные обходить проверку KYC как на платформах Android, так и на iOS. Эти приложения внедряют в процесс проверки предварительно записанные или обработанные видеопотоки, которые становятся все более совершенными и включают функции синхронизации по губам, чтобы обойти проблемы с аутентификацией на основе голоса. Операции основаны на модели "Подделка как услуга", когда независимые субъекты предлагают индивидуальные услуги по созданию подделок в рамках своих пакетов обхода KYC, предназначенных специально для финансовых учреждений. Этот подход использует украденные базы данных идентификационных данных и носители, созданные с помощью искусственного интеллекта, для создания синтетических идентификационных данных, которые облегчают крупномасштабное мошенничество с личными данными.
Последние данные указывают на тревожную тенденцию: в отчетах говорится о значительных финансовых потерях из-за мошенничества с использованием искусственного интеллекта, включая случай, произошедший в 2024 году, когда мошенники выдавали себя за руководителей компании, чтобы обмануть фирму на сумму 25,6 миллиона долларов. Опросы показывают, что в 2023 году более половины финансовых организаций понесли убытки в размере от 5 до 25 миллионов долларов из-за атак с использованием искусственного интеллекта. Кроме того, в отчете Организации Объединенных Наций зафиксирован 600-процентный рост преступной деятельности, связанной с deepfake, в Юго-Восточной Азии в первой половине 2024 года, что подчеркивает тревожную эскалацию преступлений, связанных с использованием искусственного интеллекта.
Одной из основных проблем в борьбе с этими угрозами является непоследовательная и зачастую неадекватная отчетность финансовых учреждений. Отсутствие всеобъемлющей отчетности об инцидентах затрудняет понимание регулирующими органами масштабов киберпреступности, что препятствует эффективному реагированию со стороны регулирующих органов. В то время как такие регионы, как Европейский союз, добиваются успехов во внедрении надежных решений для идентификации цифровых данных в соответствии с требованиями законодательства о борьбе с отмыванием денег, многие страны остаются позади. Такое неравенство создает возможности для киберпреступников и подчеркивает настоятельную необходимость расширения международного сотрудничества и обмена данными для совершенствования мер безопасности и нормативно-правовой базы в секторе финансовых услуг.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберпреступная группировка "Серый никель" нацелена на финансовые учреждения по всему миру, используя уязвимости для удаленной проверки личности с помощью обмена лицами и манипулирования видеопотоками в обход процедур KYC. Их деятельность основана на модели "глубокой подделки как услуги", которая использует украденные базы данных идентификационных данных для облегчения крупномасштабного мошенничества с личными данными, что приводит к значительным финансовым потерям для организаций.
-----
Киберпреступная операция, известная как "Серый никель", активно нацелена на финансовые учреждения по всему миру, особенно в Азиатско-Тихоокеанском регионе, а недавние действия были отмечены в Северной Америке и регионе EMEA. Эта изощренная хакерская группа использует передовые методы для использования уязвимостей в системах удаленной проверки личности, стремясь обойти процедуры "Знай своего клиента" (KYC). С июля 2023 года Grey Nickel сосредоточилась на банках, криптовалютных биржах, электронных кошельках и цифровых платежных платформах, используя технологию обмена лицами и манипулирование метаданными, чтобы обойти системы определения подлинности, которые обычно используются для верификации.
Криминальные сети разработали мобильные приложения, способные обходить проверку KYC как на платформах Android, так и на iOS. Эти приложения внедряют в процесс проверки предварительно записанные или обработанные видеопотоки, которые становятся все более совершенными и включают функции синхронизации по губам, чтобы обойти проблемы с аутентификацией на основе голоса. Операции основаны на модели "Подделка как услуга", когда независимые субъекты предлагают индивидуальные услуги по созданию подделок в рамках своих пакетов обхода KYC, предназначенных специально для финансовых учреждений. Этот подход использует украденные базы данных идентификационных данных и носители, созданные с помощью искусственного интеллекта, для создания синтетических идентификационных данных, которые облегчают крупномасштабное мошенничество с личными данными.
Последние данные указывают на тревожную тенденцию: в отчетах говорится о значительных финансовых потерях из-за мошенничества с использованием искусственного интеллекта, включая случай, произошедший в 2024 году, когда мошенники выдавали себя за руководителей компании, чтобы обмануть фирму на сумму 25,6 миллиона долларов. Опросы показывают, что в 2023 году более половины финансовых организаций понесли убытки в размере от 5 до 25 миллионов долларов из-за атак с использованием искусственного интеллекта. Кроме того, в отчете Организации Объединенных Наций зафиксирован 600-процентный рост преступной деятельности, связанной с deepfake, в Юго-Восточной Азии в первой половине 2024 года, что подчеркивает тревожную эскалацию преступлений, связанных с использованием искусственного интеллекта.
Одной из основных проблем в борьбе с этими угрозами является непоследовательная и зачастую неадекватная отчетность финансовых учреждений. Отсутствие всеобъемлющей отчетности об инцидентах затрудняет понимание регулирующими органами масштабов киберпреступности, что препятствует эффективному реагированию со стороны регулирующих органов. В то время как такие регионы, как Европейский союз, добиваются успехов во внедрении надежных решений для идентификации цифровых данных в соответствии с требованиями законодательства о борьбе с отмыванием денег, многие страны остаются позади. Такое неравенство создает возможности для киберпреступников и подчеркивает настоятельную необходимость расширения международного сотрудничества и обмена данными для совершенствования мер безопасности и нормативно-правовой базы в секторе финансовых услуг.
#ParsedReport #CompletenessLow
08-06-2025
NightSpire Ransomware Encrypts Cloud-Stored OneDrive Files
https://www.sonicwall.com/blog/nightspire-ransomware-encrypts-onedrive-files
Report completeness: Low
Threats:
Nightspire
Victims:
Facility services organization
Geo:
Spain
ChatGPT TTPs:
T1486, T1587.001, T1590
IOCs:
File: 3
08-06-2025
NightSpire Ransomware Encrypts Cloud-Stored OneDrive Files
https://www.sonicwall.com/blog/nightspire-ransomware-encrypts-onedrive-files
Report completeness: Low
Threats:
Nightspire
Victims:
Facility services organization
Geo:
Spain
ChatGPT TTPs:
do not use without manual checkT1486, T1587.001, T1590
IOCs:
File: 3
CTT Report Hub
#ParsedReport #CompletenessLow 08-06-2025 NightSpire Ransomware Encrypts Cloud-Stored OneDrive Files https://www.sonicwall.com/blog/nightspire-ransomware-encrypts-onedrive-files Report completeness: Low Threats: Nightspire Victims: Facility services organization…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
NightSpire - это быстро развивающаяся программа-вымогатель, обнаруженная в марте 2023 года, которая затрагивает более 45 жертв, шифруя файлы и предоставляя инструкции по восстановлению. Разработанная на Go и распространяемая в виде портативного исполняемого файла, ее хакеры работают в сети Tor, ведя блог, в котором перечислены жертвы и обновления. SonicWall создала сигнатуры для обнаружения этой программы-вымогателя, что подчеркивает необходимость внедрения организациями проактивной защиты.
-----
NightSpire - это быстро развивающаяся разновидность программы-вымогателя, впервые обнаруженная в марте 2023 года, жертвами которой уже стали более 45 человек по всему миру. Эта вредоносная программа шифрует пользовательские файлы и отправляет инструкции по восстановлению с помощью текстового файла, что является распространенным методом среди разновидностей программ-вымогателей. NightSpire упакован в виде портативного исполняемого файла и разработан на Go, что может облегчить его развертывание в различных системах.
Хакеры, связанные с NightSpire, установили свое присутствие в сети Tor, где они ведут блог, который служит как платформой для объявлений, так и хранилищем обновлений, касающихся деятельности программы-вымогателя. В блоге подробно перечислены известные жертвы, последней из которых является организация facility services в Испании. До сих пор группа оставалась закрытой в своей деятельности, о чем свидетельствует страница "О компании". Однако быстрый рост их активности свидетельствует о потенциале будущего расширения, которое может включать привлечение филиалов, работающих на международном уровне.
В ответ на эту возникающую угрозу SonicWall Capture Labs разработала специальные сигнатуры, направленные на обнаружение и нейтрализацию программы-вымогателя NightSpire. Учитывая динамику развития группы и тревожный уровень заражения, постоянный мониторинг и стратегии проактивной защиты необходимы организациям для защиты своих сетей от этого развивающегося вредоносного ПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
NightSpire - это быстро развивающаяся программа-вымогатель, обнаруженная в марте 2023 года, которая затрагивает более 45 жертв, шифруя файлы и предоставляя инструкции по восстановлению. Разработанная на Go и распространяемая в виде портативного исполняемого файла, ее хакеры работают в сети Tor, ведя блог, в котором перечислены жертвы и обновления. SonicWall создала сигнатуры для обнаружения этой программы-вымогателя, что подчеркивает необходимость внедрения организациями проактивной защиты.
-----
NightSpire - это быстро развивающаяся разновидность программы-вымогателя, впервые обнаруженная в марте 2023 года, жертвами которой уже стали более 45 человек по всему миру. Эта вредоносная программа шифрует пользовательские файлы и отправляет инструкции по восстановлению с помощью текстового файла, что является распространенным методом среди разновидностей программ-вымогателей. NightSpire упакован в виде портативного исполняемого файла и разработан на Go, что может облегчить его развертывание в различных системах.
Хакеры, связанные с NightSpire, установили свое присутствие в сети Tor, где они ведут блог, который служит как платформой для объявлений, так и хранилищем обновлений, касающихся деятельности программы-вымогателя. В блоге подробно перечислены известные жертвы, последней из которых является организация facility services в Испании. До сих пор группа оставалась закрытой в своей деятельности, о чем свидетельствует страница "О компании". Однако быстрый рост их активности свидетельствует о потенциале будущего расширения, которое может включать привлечение филиалов, работающих на международном уровне.
В ответ на эту возникающую угрозу SonicWall Capture Labs разработала специальные сигнатуры, направленные на обнаружение и нейтрализацию программы-вымогателя NightSpire. Учитывая динамику развития группы и тревожный уровень заражения, постоянный мониторинг и стратегии проактивной защиты необходимы организациям для защиты своих сетей от этого развивающегося вредоносного ПО.
#ParsedReport #CompletenessMedium
08-06-2025
DarkGaboon: Cyberviper's Venom in the Digital Veins of Russian Companies
https://habr.com/ru/companies/pt/articles/915992/
Report completeness: Medium
Actors/Campaigns:
Darkgaboon
Threats:
Lockbit
Dotnet_reactor_tool
Xworm_rat
Themida_tool
Homoglyph_technique
Victims:
Russian companies, Employees in financial departments
Geo:
Seychelles, African, Russian, American, Russia, Ukrainian
ChatGPT TTPs:
T1027, T1046, T1071.001, T1082, T1105, T1204.002, T1486, T1566.001, T1583.001
IOCs:
Domain: 57
Hash: 48
IP: 2
Soft:
NET Reactor, Phpmailer, CPanel, Gmail
Algorithms:
aes-ecb, md5
08-06-2025
DarkGaboon: Cyberviper's Venom in the Digital Veins of Russian Companies
https://habr.com/ru/companies/pt/articles/915992/
Report completeness: Medium
Actors/Campaigns:
Darkgaboon
Threats:
Lockbit
Dotnet_reactor_tool
Xworm_rat
Themida_tool
Homoglyph_technique
Victims:
Russian companies, Employees in financial departments
Geo:
Seychelles, African, Russian, American, Russia, Ukrainian
ChatGPT TTPs:
do not use without manual checkT1027, T1046, T1071.001, T1082, T1105, T1204.002, T1486, T1566.001, T1583.001
IOCs:
Domain: 57
Hash: 48
IP: 2
Soft:
NET Reactor, Phpmailer, CPanel, Gmail
Algorithms:
aes-ecb, md5
Хабр
DarkGaboon: яд кибергадюки в цифровых жилах российских компаний
В январе текущего года группа киберразведки TI‑департамента PT ESC разоблачила ранее неизвестную финансово мотивированную APT‑группировку DarkGaboon , кибератаки которой в отношении...
CTT Report Hub
#ParsedReport #CompletenessMedium 08-06-2025 DarkGaboon: Cyberviper's Venom in the Digital Veins of Russian Companies https://habr.com/ru/companies/pt/articles/915992/ Report completeness: Medium Actors/Campaigns: Darkgaboon Threats: Lockbit Dotnet_reactor_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа DarkGaboon APT нацелилась на российские компании, используя передовую тактику фишинга, размещая вложения в формате RTF, содержащие сообщения Revenge и XWorm RATs. Они используют программу-вымогательницу LockBit 3.0 для шифрования и общаются преимущественно на русском языке, что исключает возможность утечки данных. Их инфраструктура включает в себя недавно зарегистрированные домены .ru и использует инструменты с открытым исходным кодом, работая независимо от распространенных моделей RaaS.
-----
В январе 2023 года расследования выявили продолжающиеся кибератаки группы DarkGaboon APT на российские компании, о которых впервые стало известно весной 2023 года. Эти атаки включали в себя передовые и эволюционирующие тактики, методы и процедуры (TTP), хотя в более ранних анализах отсутствовали подробные сведения о полной цепочке уничтожения атак. Последующие расследования, проведенные Отделом комплексного реагирования на хакерские атаки, выявили важные компоненты деятельности DarkGaboon, включая сетевой сканер, известный как NS, и шифровальщик LockBit.
DarkGaboon в первую очередь нацелен на сотрудников финансовых отделов, используя фишинговые электронные письма на русском языке, часто с вложениями срочных документов. Вложения обычно состоят из документов-приманки в формате RTF и scr-файлов, содержащих запутанные версии Revenge и XWorm RAT (троян удаленного доступа). В этих вредоносных файлах используются различные методы обмана, такие как использование одинаковых имен, поддельных изображений в формате PDF и недействительных сертификатов X.509, предположительно связанных с законными российскими юридическими лицами. С 2023 года постоянно используются документы в формате RTF, созданные на основе подлинных финансовых шаблонов. После успешного вторжения Даркгабун проводит внутреннюю разведку с помощью этих крыс.
В развертывании RAT используется UPX для упаковки, дешифрования с помощью AES-ECB и использования определенного хэша MD5 для ключа шифрования (например, "oKuQzNc8L6QcYdrA5"). Использование группой NS network scanner было отмечено с 2019 года и является распространенным явлением среди киберпреступников. DarkGaboon шифрует файлы, используя версию программы-вымогателя LockBit 3.0, и общается с жертвами с помощью русскоязычных заметок, в которых содержатся инструкции по расшифровке и контакты по электронной почте, а также указаны индикаторы утечки данных.
Вредоносные электронные письма рассылаются с SMTP-сервера, расположенного в России, с использованием таких инструментов, как Phpmailer, и доменов .ru, многие из которых недавно зарегистрированы. Инфраструктура группы также включает в себя услуги динамического DNS и решение для виртуального хостинга Windows, арендованное у американского провайдера, с некоторыми компонентами, связанными с регистрацией на Сейшельских островах. Примечательно, что домен Room155.online был зарегистрирован в марте 2023 года и связан с трафиком, связанным с атаками.
На протяжении всех инцидентов сообщения повторяли предыдущие действия, но в них отсутствовали конкретные идентификаторы, которые могли бы связать их с нападавшими. Несмотря на то, что DarkGaboon использует инструменты с открытым исходным кодом, такие как Revenge, XWORM и LockBit Clinker, он работает независимо и, похоже, не следует типичным методам извлечения данных, связанным с моделями "программы-вымогатели как услуга" (RaaS). Ожидается, что DarkGaboon продолжит свою деятельность в отношении российских предприятий, а соответствующие органы по кибербезопасности планируют осуществлять постоянный мониторинг.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа DarkGaboon APT нацелилась на российские компании, используя передовую тактику фишинга, размещая вложения в формате RTF, содержащие сообщения Revenge и XWorm RATs. Они используют программу-вымогательницу LockBit 3.0 для шифрования и общаются преимущественно на русском языке, что исключает возможность утечки данных. Их инфраструктура включает в себя недавно зарегистрированные домены .ru и использует инструменты с открытым исходным кодом, работая независимо от распространенных моделей RaaS.
-----
В январе 2023 года расследования выявили продолжающиеся кибератаки группы DarkGaboon APT на российские компании, о которых впервые стало известно весной 2023 года. Эти атаки включали в себя передовые и эволюционирующие тактики, методы и процедуры (TTP), хотя в более ранних анализах отсутствовали подробные сведения о полной цепочке уничтожения атак. Последующие расследования, проведенные Отделом комплексного реагирования на хакерские атаки, выявили важные компоненты деятельности DarkGaboon, включая сетевой сканер, известный как NS, и шифровальщик LockBit.
DarkGaboon в первую очередь нацелен на сотрудников финансовых отделов, используя фишинговые электронные письма на русском языке, часто с вложениями срочных документов. Вложения обычно состоят из документов-приманки в формате RTF и scr-файлов, содержащих запутанные версии Revenge и XWorm RAT (троян удаленного доступа). В этих вредоносных файлах используются различные методы обмана, такие как использование одинаковых имен, поддельных изображений в формате PDF и недействительных сертификатов X.509, предположительно связанных с законными российскими юридическими лицами. С 2023 года постоянно используются документы в формате RTF, созданные на основе подлинных финансовых шаблонов. После успешного вторжения Даркгабун проводит внутреннюю разведку с помощью этих крыс.
В развертывании RAT используется UPX для упаковки, дешифрования с помощью AES-ECB и использования определенного хэша MD5 для ключа шифрования (например, "oKuQzNc8L6QcYdrA5"). Использование группой NS network scanner было отмечено с 2019 года и является распространенным явлением среди киберпреступников. DarkGaboon шифрует файлы, используя версию программы-вымогателя LockBit 3.0, и общается с жертвами с помощью русскоязычных заметок, в которых содержатся инструкции по расшифровке и контакты по электронной почте, а также указаны индикаторы утечки данных.
Вредоносные электронные письма рассылаются с SMTP-сервера, расположенного в России, с использованием таких инструментов, как Phpmailer, и доменов .ru, многие из которых недавно зарегистрированы. Инфраструктура группы также включает в себя услуги динамического DNS и решение для виртуального хостинга Windows, арендованное у американского провайдера, с некоторыми компонентами, связанными с регистрацией на Сейшельских островах. Примечательно, что домен Room155.online был зарегистрирован в марте 2023 года и связан с трафиком, связанным с атаками.
На протяжении всех инцидентов сообщения повторяли предыдущие действия, но в них отсутствовали конкретные идентификаторы, которые могли бы связать их с нападавшими. Несмотря на то, что DarkGaboon использует инструменты с открытым исходным кодом, такие как Revenge, XWORM и LockBit Clinker, он работает независимо и, похоже, не следует типичным методам извлечения данных, связанным с моделями "программы-вымогатели как услуга" (RaaS). Ожидается, что DarkGaboon продолжит свою деятельность в отношении российских предприятий, а соответствующие органы по кибербезопасности планируют осуществлять постоянный мониторинг.
#ParsedReport #CompletenessMedium
08-06-2025
Over 20 Crypto Phishing Applications Found on the Play Store Stealing Mnemonic Phrases
https://cyble.com/blog/crypto-phishing-applications-on-the-play-store/
Report completeness: Medium
Threats:
Typosquatting_technique
Victims:
Crypto wallet users
Industry:
Entertainment, Financial
ChatGPT TTPs:
T1078.003, T1407, T1444, T1566.001, T1584
IOCs:
File: 21
Url: 14
IP: 1
Domain: 32
Hash: 2
Soft:
Raydium, Google Play, android
Crypto:
pancakeswap
Algorithms:
exhibit, sha1, md5, sha256
08-06-2025
Over 20 Crypto Phishing Applications Found on the Play Store Stealing Mnemonic Phrases
https://cyble.com/blog/crypto-phishing-applications-on-the-play-store/
Report completeness: Medium
Threats:
Typosquatting_technique
Victims:
Crypto wallet users
Industry:
Entertainment, Financial
ChatGPT TTPs:
do not use without manual checkT1078.003, T1407, T1444, T1566.001, T1584
IOCs:
File: 21
Url: 14
IP: 1
Domain: 32
Hash: 2
Soft:
Raydium, Google Play, android
Crypto:
pancakeswap
Algorithms:
exhibit, sha1, md5, sha256
Cyble
Crypto Phishing Applications On The Play Store
CRIL discovers over 20 malicious apps targeting crypto wallet users with phishing tactics and Play Store distribution under compromised developer accounts.
CTT Report Hub
#ParsedReport #CompletenessMedium 08-06-2025 Over 20 Crypto Phishing Applications Found on the Play Store Stealing Mnemonic Phrases https://cyble.com/blog/crypto-phishing-applications-on-the-play-store/ Report completeness: Medium Threats: Typosquatting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Более 20 вредоносных приложений, нацеленных на криптовалютные кошельки, используют тактику фишинга, копируя такие приложения, как PancakeSwap, для кражи мнемонических фраз. Распространяемые через взломанные аккаунты разработчиков, они используют платформу Median для быстрого преобразования веб-сайтов в приложения и используют фишинговые URL-адреса в своих политиках конфиденциальности. Обнаруживаемая инфраструктура, связанная с несколькими фишинговыми доменами, свидетельствует о скоординированных действиях против пользователей криптовалют.
-----
Недавние исследования Cyble Research and Intelligence Labs (CRIL) выявили появление более 20 вредоносных приложений, предназначенных для атаки на пользователей криптовалютных кошельков с помощью фишинга. Эти поддельные приложения маскируются под настоящие кошельки, включая такие популярные варианты, как PancakeSwap и SushiSwap. Пользователей обманом заставляют вводить свои мнемонические фразы из 12 слов через мошеннические интерфейсы, что позволяет злоумышленникам получить доступ к их реальным кошелькам и истощить их запасы криптовалюты.
Вредоносные приложения в основном распространяются через Google Play Store через аккаунты, которые были либо скомпрометированы, либо перепрофилированы разработчиками законных приложений, таких как программы для загрузки игр и видео, в результате чего количество загрузок некоторых приложений превысило 100 000. Хакеры используют различные методы атаки, чтобы облегчить распространение этих вредоносных приложений. В частности, они включают фишинговые URL-адреса в политики конфиденциальности этих приложений и повторно используют похожие названия пакетов, что упрощает использование доверия пользователей.
Технически эти вредоносные приложения используют платформу Median, позволяющую быстро преобразовывать веб-сайты в приложения для Android. Например, в этих приложениях используется специальный фишинговый URL-адрес "hxxps://pancakefentfloyd.cz/api.php", который перенаправляет жертв на фишинговый сайт, имитирующий законный интерфейс кошелька PancakeSwap. Это взаимодействие происходит в WebView, где пользователей вводят в заблуждение, заставляя вводить свои мнемонические фразы.
Другой вариант вредоносных приложений работает без фреймворка разработки, напрямую загружая фишинговый сайт в WebView, снова выдавая себя за законный кошелек, такой как Raydium. Расследования показали, что один из фишинговых URL-адресов размещен на IP-адресе, связанном с более чем 50 другими фишинговыми доменами, что указывает на хорошо организованную инфраструктуру, направленную на кражу мнемонических фраз на нескольких криптовалютных платформах.
Эта кампания представляет собой скоординированную фишинговую операцию, направленную на быстро растущее сообщество пользователей криптовалютных кошельков. Используя, казалось бы, законные приложения и скомпрометированные учетные записи разработчиков, злоумышленники не только расширяют сферу своей деятельности, но и снижают шансы на обнаружение с помощью стандартных мер безопасности. Финансовые последствия этих атак могут быть разрушительными для жертв, учитывая необратимый характер криптовалютных транзакций. Поскольку ландшафт цифровых активов продолжает развиваться, это подчеркивает острую необходимость повышения бдительности пользователей и ответственности заинтересованных сторон, таких как магазины приложений и охранные компании, за принятие упреждающих мер по выявлению и устранению таких угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Более 20 вредоносных приложений, нацеленных на криптовалютные кошельки, используют тактику фишинга, копируя такие приложения, как PancakeSwap, для кражи мнемонических фраз. Распространяемые через взломанные аккаунты разработчиков, они используют платформу Median для быстрого преобразования веб-сайтов в приложения и используют фишинговые URL-адреса в своих политиках конфиденциальности. Обнаруживаемая инфраструктура, связанная с несколькими фишинговыми доменами, свидетельствует о скоординированных действиях против пользователей криптовалют.
-----
Недавние исследования Cyble Research and Intelligence Labs (CRIL) выявили появление более 20 вредоносных приложений, предназначенных для атаки на пользователей криптовалютных кошельков с помощью фишинга. Эти поддельные приложения маскируются под настоящие кошельки, включая такие популярные варианты, как PancakeSwap и SushiSwap. Пользователей обманом заставляют вводить свои мнемонические фразы из 12 слов через мошеннические интерфейсы, что позволяет злоумышленникам получить доступ к их реальным кошелькам и истощить их запасы криптовалюты.
Вредоносные приложения в основном распространяются через Google Play Store через аккаунты, которые были либо скомпрометированы, либо перепрофилированы разработчиками законных приложений, таких как программы для загрузки игр и видео, в результате чего количество загрузок некоторых приложений превысило 100 000. Хакеры используют различные методы атаки, чтобы облегчить распространение этих вредоносных приложений. В частности, они включают фишинговые URL-адреса в политики конфиденциальности этих приложений и повторно используют похожие названия пакетов, что упрощает использование доверия пользователей.
Технически эти вредоносные приложения используют платформу Median, позволяющую быстро преобразовывать веб-сайты в приложения для Android. Например, в этих приложениях используется специальный фишинговый URL-адрес "hxxps://pancakefentfloyd.cz/api.php", который перенаправляет жертв на фишинговый сайт, имитирующий законный интерфейс кошелька PancakeSwap. Это взаимодействие происходит в WebView, где пользователей вводят в заблуждение, заставляя вводить свои мнемонические фразы.
Другой вариант вредоносных приложений работает без фреймворка разработки, напрямую загружая фишинговый сайт в WebView, снова выдавая себя за законный кошелек, такой как Raydium. Расследования показали, что один из фишинговых URL-адресов размещен на IP-адресе, связанном с более чем 50 другими фишинговыми доменами, что указывает на хорошо организованную инфраструктуру, направленную на кражу мнемонических фраз на нескольких криптовалютных платформах.
Эта кампания представляет собой скоординированную фишинговую операцию, направленную на быстро растущее сообщество пользователей криптовалютных кошельков. Используя, казалось бы, законные приложения и скомпрометированные учетные записи разработчиков, злоумышленники не только расширяют сферу своей деятельности, но и снижают шансы на обнаружение с помощью стандартных мер безопасности. Финансовые последствия этих атак могут быть разрушительными для жертв, учитывая необратимый характер криптовалютных транзакций. Поскольку ландшафт цифровых активов продолжает развиваться, это подчеркивает острую необходимость повышения бдительности пользователей и ответственности заинтересованных сторон, таких как магазины приложений и охранные компании, за принятие упреждающих мер по выявлению и устранению таких угроз.
#ParsedReport #CompletenessLow
08-06-2025
Threat Spotlight: Hijacked Routers and Fake Searches Fueling Payroll Heist - ReliaQuest
https://reliaquest.com/blog/threat-spotlight-payroll-fraud-attackers-stealing-paychecks-seo-poisoning/
Report completeness: Low
Actors/Campaigns:
Doppelgnger
Threats:
Seo_poisoning_technique
Residential_proxy_technique
Industry:
Telco, E-commerce
Geo:
Russia
CVEs:
CVE-2024-3080 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2025-2492 [Vulners]
CVSS V3.1: 9.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
T1027, T1071.001, T1078, T1090.003, T1110.003, T1190, T1204.001, T1505.003, T1555, T1566.002, have more...
IOCs:
File: 1
IP: 20
Soft:
WordPress
Languages:
javascript, php, swift
08-06-2025
Threat Spotlight: Hijacked Routers and Fake Searches Fueling Payroll Heist - ReliaQuest
https://reliaquest.com/blog/threat-spotlight-payroll-fraud-attackers-stealing-paychecks-seo-poisoning/
Report completeness: Low
Actors/Campaigns:
Doppelgnger
Threats:
Seo_poisoning_technique
Residential_proxy_technique
Industry:
Telco, E-commerce
Geo:
Russia
CVEs:
CVE-2024-3080 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2025-2492 [Vulners]
CVSS V3.1: 9.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
do not use without manual checkT1027, T1071.001, T1078, T1090.003, T1110.003, T1190, T1204.001, T1505.003, T1555, T1566.002, have more...
IOCs:
File: 1
IP: 20
Soft:
WordPress
Languages:
javascript, php, swift
ReliaQuest
Threat Spotlight: Hijacked Routers and Fake Searches Fueling Payroll Heist - ReliaQuest
CTT Report Hub
#ParsedReport #CompletenessLow 08-06-2025 Threat Spotlight: Hijacked Routers and Fake Searches Fueling Payroll Heist - ReliaQuest https://reliaquest.com/blog/threat-spotlight-payroll-fraud-attackers-stealing-paychecks-seo-poisoning/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Сложная SEO-атака была нацелена на мобильные устройства с целью кражи учетных данных и мошенничества с оплатой труда, используя поддельные страницы входа в систему, которые занимали высокие позиции в результатах поиска. Используя незащищенные сети, злоумышленники использовали методы фишинга и инструмент под названием Pusher для отслеживания украденных учетных данных, что усложняло усилия по обнаружению из-за быстрой смены IP-адресов со взломанных локальных маршрутизаторов. Организациям рекомендуется внедрять многофакторную аутентификацию и отслеживать домены, выдающие себя за пользователей, для устранения этих возникающих угроз.
-----
Сложная SEO-атака была нацелена на мобильные устройства, что привело к краже учетных данных и мошенничеству с платежными ведомостями. Злоумышленники создали поддельные страницы для входа, имитирующие законные платежные порталы, и заняли высокие позиции в поисковых системах с помощью манипулятивных методов SEO. Атака была проведена из-за отсутствия надежной защиты мобильных устройств сотрудников, подключенных к незащищенным сетям. Первоначальные расследования не выявили признаков SEO-атаки, но тесты выявили, что мошеннические сайты занимают лидирующие позиции в результатах поиска, связанных с начислением заработной платы. В ходе атаки были использованы уязвимости, связанные с использованием мобильных устройств, что позволило обойти традиционные меры безопасности за пределами корпоративных сетей. Жертвы были перенаправлены на сайт WordPress, выдававший себя за портал для входа в систему Microsoft, который собирал конфиденциальную информацию с помощью HTTP POST-запросов. Для обработки этих запросов использовался PHP-файл, что указывает на настойчивость того же хакера в прошлых инцидентах. Злоумышленники использовали инструмент под названием Pusher для получения уведомлений о краже учетных данных в режиме реального времени, что позволило быстро их использовать. Быстрая смена IP-адресов в жилых домах помогла им избежать обнаружения, что усложнило отслеживание. Уязвимости в маршрутизаторах потребительского класса облегчили доступ к этим сетям. Использование непрослеживаемых прокси-сетей позволило злоумышленникам смешивать трафик и обходить меры безопасности. Организациям следует внедрять многофакторную аутентификацию (MFA) и политики условного доступа, отслеживать изменения в системе прямого пополнения счета, обучать персонал безопасному доступу и заблаговременно выявлять домены, выдающие себя за пользователей. Для борьбы с развивающимися методами фишинга и кражей учетных данных необходима постоянная адаптация стратегий кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Сложная SEO-атака была нацелена на мобильные устройства с целью кражи учетных данных и мошенничества с оплатой труда, используя поддельные страницы входа в систему, которые занимали высокие позиции в результатах поиска. Используя незащищенные сети, злоумышленники использовали методы фишинга и инструмент под названием Pusher для отслеживания украденных учетных данных, что усложняло усилия по обнаружению из-за быстрой смены IP-адресов со взломанных локальных маршрутизаторов. Организациям рекомендуется внедрять многофакторную аутентификацию и отслеживать домены, выдающие себя за пользователей, для устранения этих возникающих угроз.
-----
Сложная SEO-атака была нацелена на мобильные устройства, что привело к краже учетных данных и мошенничеству с платежными ведомостями. Злоумышленники создали поддельные страницы для входа, имитирующие законные платежные порталы, и заняли высокие позиции в поисковых системах с помощью манипулятивных методов SEO. Атака была проведена из-за отсутствия надежной защиты мобильных устройств сотрудников, подключенных к незащищенным сетям. Первоначальные расследования не выявили признаков SEO-атаки, но тесты выявили, что мошеннические сайты занимают лидирующие позиции в результатах поиска, связанных с начислением заработной платы. В ходе атаки были использованы уязвимости, связанные с использованием мобильных устройств, что позволило обойти традиционные меры безопасности за пределами корпоративных сетей. Жертвы были перенаправлены на сайт WordPress, выдававший себя за портал для входа в систему Microsoft, который собирал конфиденциальную информацию с помощью HTTP POST-запросов. Для обработки этих запросов использовался PHP-файл, что указывает на настойчивость того же хакера в прошлых инцидентах. Злоумышленники использовали инструмент под названием Pusher для получения уведомлений о краже учетных данных в режиме реального времени, что позволило быстро их использовать. Быстрая смена IP-адресов в жилых домах помогла им избежать обнаружения, что усложнило отслеживание. Уязвимости в маршрутизаторах потребительского класса облегчили доступ к этим сетям. Использование непрослеживаемых прокси-сетей позволило злоумышленникам смешивать трафик и обходить меры безопасности. Организациям следует внедрять многофакторную аутентификацию (MFA) и политики условного доступа, отслеживать изменения в системе прямого пополнения счета, обучать персонал безопасному доступу и заблаговременно выявлять домены, выдающие себя за пользователей. Для борьбы с развивающимися методами фишинга и кражей учетных данных необходима постоянная адаптация стратегий кибербезопасности.
#ParsedReport #CompletenessMedium
07-06-2025
Operation Futile
https://www.cverc.org.cn/head/zhaiyao/Investigation_report_on_Cyberattacks_launched_by_Taiwan_ICEFCOM_EN.pdf
Report completeness: Medium
Actors/Campaigns:
Futile (motivation: sabotage, information_theft, cyber_espionage)
Greenspot
Apt-c-62
Apt-c-64 (motivation: sabotage, cyber_espionage)
Apt-c-65 (motivation: cyber_espionage)
Apt-c-67
Green_spot
Threats:
Quasar_rat
Mirrordump_tool
Postdump_tool
Ppldump_tool
Cobalt_strike_tool
Metasploit_tool
Sliver_c2_tool
Process_injection_technique
Gotohttp_tool
Jump_desktop_tool
Poison_ivy
Gh0st_rat
Xrat_rat
Victims:
Government entities, Public service entities, Research institutions, Universities, Defense technology entities, Industry entities, Foreign affairs agencies, Critical information infrastructure, Transportation sector, Civil aviation, have more...
Industry:
Financial, Military, Iot, Logistic, Maritime, Healthcare, Government, Energy, Education, Aerospace, Media, Transport
Geo:
Chinese, Taiwan, Asian, Russia, China, Hong kong
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 12
Path: 7
Hash: 30
Soft:
Windows scheduled task, sysinternals, Chrome, Opera, Internet Explorer, Firefox, WinSCP, Linux, macOS, Android
Algorithms:
aes, exhibit, md5
Platforms:
cross-platform
07-06-2025
Operation Futile
https://www.cverc.org.cn/head/zhaiyao/Investigation_report_on_Cyberattacks_launched_by_Taiwan_ICEFCOM_EN.pdf
Report completeness: Medium
Actors/Campaigns:
Futile (motivation: sabotage, information_theft, cyber_espionage)
Greenspot
Apt-c-62
Apt-c-64 (motivation: sabotage, cyber_espionage)
Apt-c-65 (motivation: cyber_espionage)
Apt-c-67
Green_spot
Threats:
Quasar_rat
Mirrordump_tool
Postdump_tool
Ppldump_tool
Cobalt_strike_tool
Metasploit_tool
Sliver_c2_tool
Process_injection_technique
Gotohttp_tool
Jump_desktop_tool
Poison_ivy
Gh0st_rat
Xrat_rat
Victims:
Government entities, Public service entities, Research institutions, Universities, Defense technology entities, Industry entities, Foreign affairs agencies, Critical information infrastructure, Transportation sector, Civil aviation, have more...
Industry:
Financial, Military, Iot, Logistic, Maritime, Healthcare, Government, Energy, Education, Aerospace, Media, Transport
Geo:
Chinese, Taiwan, Asian, Russia, China, Hong kong
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 12
Path: 7
Hash: 30
Soft:
Windows scheduled task, sysinternals, Chrome, Opera, Internet Explorer, Firefox, WinSCP, Linux, macOS, Android
Algorithms:
aes, exhibit, md5
Platforms:
cross-platform