#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Тайваньские T-APT, включая такие группы, как APT-C-01 и APT-C-62, в основном нацелены на Китай, используя фишинг и использование веб-приложений. Они используют известные уязвимости и инструменты, такие как Cobalt Strike, для шпионажа и кражи данных, что указывает на ограниченное развитие передовых технологий.
-----

В отчете обсуждается кибершпионажная деятельность тайваньских аффилированных групп APT (APT), в совокупности именуемых T-APTS, которые действуют под эгидой Демократической прогрессивной партии (DPP) и Тайваньского командования информации, коммуникаций и электронных сил (ICEFCOM). Эти группы в первую очередь нацелены на правительственные учреждения и госслужбу, исследовательские институты и оборонный сектор материкового Китая с целью кражи конфиденциальных разведывательных данных, которые могут нарушить национальную безопасность и общественный порядок.

Одна известная группа, APT-C-01 (также известная как Poison Vine), использует фишинговую тактику для проникновения в особо ценные объекты. Во время пандемии COVID-19 она значительно активизировала свои фишинговые кампании, выдавая себя за отечественные почтовые сервисы и размещая поддельные документы, связанные с борьбой с пандемией. В 2023 году атаки группы расширились и охватили правительственные учреждения и гражданскую авиацию, часто используя фишинговые веб-сайты и поддельные документы для кражи конфиденциальных данных.

Другая группа, APT-C-62 (Viola Tricolor), преследует схожие цели с APT-C-01 и перешла от фишинга электронных писем к использованию уязвимостей в веб-приложениях. Их методология атаки включает в себя горизонтальное перемещение по скомпрометированным сетям и использование готовых инструментов для таких операций, как утечка данных.

APT-C-64 (Anonymous 64) известна своей причастностью к распространению пропаганды против материковой части Китая. Эта группа проводит кибератаки еще с 2006 года, нацеливаясь на цифровые медиа-сервисы и используя хакерские атаки для взлома общедоступного контента. Активность APT-C-64 достигла своего пика во время важных мероприятий, таких как Азиатские игры в Ханчжоу, где они были нацелены на уязвимые системы для распространения незаконной пропаганды.

APT-C-65 (Neon Pothos) специализируется на критически важной инфраструктуре в оборонном и аэрокосмическом секторах, осуществляя шпионаж и кражу данных в периоды повышенной политической напряженности между США и Тайванем. Наконец, APT-C-67 (Ursa) в основном атакует системы Интернета вещей (IoT) и сети видеонаблюдения для сбора географической и кибернетической информации.

T-APT используют различные методы первоначального доступа, в основном полагаясь на известные уязвимости в программном обеспечении и тщательную разведку для разработки персонализированных фишинговых атак. Их общая тактика заключается в использовании вредоносных вложений электронной почты, веб-атак и использовании общих слабых мест в широко используемом программном обеспечении. Группы обычно используют инструменты с открытым исходным кодом, такие как Cobalt Strike и QuasarRAT, для последующей эксплуатации, что позволяет им поддерживать постоянство и повышать привилегии в целевых сетях.

Несмотря на заявленные возможности, методы атаки, используемые T-APTs, указывают на то, что они основаны на известных уязвимостях, а не на передовых методах, что свидетельствует об ограниченности их возможностей в разработке уникального кибероружия. T-APTs уделяет особое внимание созданию документов-приманок на основе текущих событий для повышения эффективности своих фишинговых действий.

Подводя итог, этот отчет иллюстрирует расширяющуюся сферу деятельности и постоянную угрозу, исходящую от T-APT, подчеркивая их стратегическое сотрудничество и тактические подходы к кибервойне против объектов на материковой части Китая в соответствии с директивой тайваньских властей. Расследование вызывает обеспокоенность по поводу сложности и последствий киберопераций, вызванных региональной геополитической напряженностью.

#ParsedReport #CompletenessLow
08-06-2025

Active NPM Attack Escalates: 16 React Native Packages for GlueStack Backdoored Overnight

https://www.aikido.dev/blog/supply-chain-attack-on-react-native-aria-ecosystem

Report completeness: Low

Industry:
Media

ChatGPT TTPs:
do not use without manual check
T1005, T1105, T1547.001, T1584.005

IOCs:
File: 68
Domain: 1
Url: 4
IP: 2
Path: 1

Soft:
Node.js

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакер, связанный с пакетом rand-user-agent для npm, активизировал атаки, внедряя вредоносный код в широко используемые пакеты. Эта новая полезная нагрузка позволяет динамически выбирать между существующими и неопознанными серверами управления, одновременно собирая системные метаданные для разведки. Вредоносная программа стремится к постоянству, нацеливаясь на определенные каталоги в системах Windows, чтобы закрепиться.
-----

6 июня 2025 года была отмечена заметная эскалация хакерской активности, в которой участвовал хакер, ранее связанный со взломом популярного пакета npm, rand-user-agent. Этот субъект переключил внимание на проникновение в широко используемые пакеты, в совокупности накапливая около миллиона загрузок в неделю. Стратегия атаки становится все более изощренной после более ранних менее масштабных атак на менее популярные пакеты.

Критической причиной недавней атаки стало изменение в одном из важных пакетов, в результате чего в файл был тайно вставлен вредоносный код lib/commonjs/index.js. Конкретное изменение было идентифицировано в строке 46, и оно служит механизмом доставки полезной нагрузки, аналогичной той, которая была обнаружена в компромиссе rand-user-agent, но с ключевыми изменениями. Полезная нагрузка включает переменную, которая позволяет выбирать между ранее известными серверами управления (C2) и новым неопознанным сервером C2. Эта корректировка указывает на усовершенствованную тактику, позволяющую злоумышленникам динамически адаптировать свою инфраструктуру в зависимости от окружающей среды.

Помимо доставки вредоносной полезной нагрузки, код содержит функции для сбора системного контекста и метаданных, таких как тип операционной системы, Node.js версия, путь к скрипту и рабочий каталог. Кроме того, он выполняет внешний запрос для сбора сведений об общедоступных IP-адресах, что потенциально облегчает поиск и контроль.

Дизайн вредоносного ПО подчеркивает его стойкость, поскольку оно намерено оставаться скрытым и работать в скомпрометированных системах. На платформах Windows оно стремится расположиться по пути к каталогу %LOCALAPPDATA%\Programs\Python\Python3127. Наличие любых файлов в этом расположении означает успешную компрометацию, и любое такое заражение потребует немедленной проверки системы, поскольку злоумышленники могут использовать дополнительные полезные ресурсы для дополнительных вредоносных действий.

Постоянный характер этой угрозы свидетельствует о том, что разработчикам и пользователям необходимо проявлять бдительность и защищать свои системы от постоянно меняющейся тактики, применяемой злоумышленниками, которые демонстрируют отличные возможности по компрометации пакетов и внедрению троянских программ удаленного доступа (RATs).

#ParsedReport #CompletenessLow
08-06-2025

The OceanLotus organization is suspected of launching attacks against domestic operating systems and IOT devices

https://paper.seebug.org/3328/

Report completeness: Low

Actors/Campaigns:
Oceanlotus (motivation: information_theft)

Threats:
Nmap_tool

Victims:
Government agencies, Enterprises, Media, Activists, Key domestic units, Personal computers, Iot devices, Servers, Key institutions

Industry:
Iot, Financial, Government

Geo:
Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1048.002, T1059, T1071.001, T1071.002, T1105, T1140, T1190, T1204, have more...

Soft:
Linux

Algorithms:
aes, xor

Platforms:
apple, arm, cross-platform, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OceanLotus (APT32) нацелен на предприятия Восточной и Юго-Восточной Азии, используя пользовательское вредоносное ПО и инструменты с открытым исходным кодом. Его новый бэкдор "mingwdoor-ARM-2" специально разработан для архитектуры ARM64 и нацелен на устройства Интернета вещей и операционную систему Kylin OS, включая методы разведки с помощью nmap и SSL-связи с помощью Libcurl. История использования уязвимостей брандмауэра и VPN группой подчеркивает эволюцию ее методов проведения атак.
-----

OceanLotus, также известный как APT32, работает с 2012 года и в первую очередь ориентирован на правительственные учреждения и предприятия в Восточной и Юго-Восточной Азии. Недавно группа разработала вредоносное ПО, нацеленное на системы с архитектурой ARM64, отказавшись от своей прежней направленности на бэкдорные трояны для Windows. Новый бэкдор, "mingwdoor-ARM-2", предназначен для работы в таких системах, как встроенные устройства, мобильные устройства и операционная система Kylin. Он использует nmap для разведки и изменяет разрешения на использование памяти с помощью mprotect. Шелл-код этого варианта значительно совпадает с более ранними версиями для архитектуры X86. В отличие от предыдущих версий, которые использовали HTTP-связь на основе сокетов, версия ARM64 использует библиотеку Libcurl для SSL-связи. OceanLotus известна тем, что использует уязвимости брандмауэра, VPN и маршрутизаторов, воздействуя на системы Linux и Windows. В своих атаках они используют нетрадиционные языки программирования и надежные методы обфускации кода, которые препятствуют обратному проектированию и повышают скрытность.

#ParsedReport #CompletenessLow
08-06-2025

PumaBot Linux Botnet Targets IoT Surveillance Devices

https://blog.polyswarm.io/pumabot-linux-botnet-targets-iot-surveillance-devices

Report completeness: Low

Threats:
Pumabot
Xmrig_miner

Industry:
Iot

ChatGPT TTPs:
do not use without manual check
T1016, T1036, T1036.005, T1041, T1059.004, T1078.003, T1082, T1105, T1210, T1496, have more...

IOCs:
File: 1
Domain: 1
Hash: 3

Soft:
linux, Redis, systemd, MySQL

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PumaBot - это ботнет, написанный на платформе Go, нацеленный на устройства Linux IoT, использующий SSH-атаки методом перебора для получения доступа и маскирующийся под службу Redis для обеспечения сохраняемости. Он собирает конфиденциальную информацию и выполняет команды по добыче криптовалюты, используя методы уклонения, чтобы избежать обнаружения, что указывает на целенаправленную и скоординированную кампанию вредоносного ПО.
-----

PumaBot - это вредоносная ботнет-сеть, написанная на Go и специально разработанная для работы с IoT-устройствами на базе Linux. Стратегия заражения начинается с получения списков целей с сервера управления (C2) и использования учетных данных SSH, в первую очередь для устройств с открытыми SSH-портами. После успешного получения доступа PumaBot устанавливается на скомпрометированное устройство, записывая свой двоичный файл в /lib/redis, маскируясь под законную службу Redis. Чтобы обеспечить постоянство, он создает служебные файлы systemd с такими именами, как redis.service или mysqI.service (последнее хитро напоминает MySQL), что позволяет ему выдерживать перезагрузки системы и вписываться в законные процессы.

Ботнет не только компрометирует системы, но и собирает конфиденциальную системную информацию, такую как название операционной системы, версия ядра, архитектура и сведения о подключении, включая IP-адрес, имя пользователя и пароль. Эта информация упаковывается и отправляется обратно на сервер C2 в формате JSON с использованием пользовательского HTTP-заголовка для передачи. Основной функцией PumaBot является выполнение команд для майнинга криптовалюты, таких как "xmrig" и "networkxm". Отсутствие полных спецификаций путей для этих команд означает, что на зараженный хост могут быть загружены или выполнены дополнительные полезные данные, что увеличивает его производительность.

PumaBot также разработан с возможностью обхода механизмов обнаружения; он использует методы снятия отпечатков пальцев для идентификации системной среды и предотвращения "ловушек", в частности, для поиска строки "Pumatronix", связанной с системами видеонаблюдения. Это указывает на целенаправленный подход, при котором либо фокусируются на конкретных устройствах Интернета вещей, либо исключаются из него. Вместо использования методов самораспространения, характерных для вредоносных программ, подобных червям, PumaBot работает как полуавтоматическая ботнет-сеть, обеспечивающая охват за счет выбора цели, ориентированной на C2, в сочетании с атаками методом перебора.

Дальнейший анализ выявил связанные компоненты вредоносного ПО, такие как *ddaemon*, который действует как бэкдор, извлекающий и запускающий компонент интеллектуального анализа данных *networkxm*, а также *installx.sh *, командный скрипт, отвечающий за загрузку дополнительной полезной нагрузки и очистку истории bash, чтобы избежать обнаружения. Эти элементы указывают на скоординированную кампанию с использованием множества инструментов, работающих синергетически, чтобы увеличить охват и долговечность вредоносного ПО. Из-за своих функций и действий PumaBot считается новым видом хакерской деятельности, требующей бдительности со стороны сообществ безопасности.

#ParsedReport #CompletenessLow
08-06-2025

LCRYX Ransomware Utilizes Weak Encryption, Demands $500 Bitcoin Payment

https://www.sonicwall.com/blog/lcryx-ransomware-utilizes-weak-encryption-demands-500-bitcoin-payment

Report completeness: Low

Threats:
Lcrypt

ChatGPT TTPs:
do not use without manual check
T1059.005, T1083, T1486, T1489

IOCs:
Registry: 1
File: 1

Crypto:
bitcoin

Algorithms:
xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LCRYX - это программа-вымогатель на VBScript, предназначенная для Windows, использующая Caesar cipher и XOR для шифрования и изменяющая имена файлов с помощью ".lcryx". Он отключает антивирусные процессы, потребляет 100% ресурсов процессора при шифровании и требует 500 долларов в биткоинах за расшифровку. Вредоносная программа также шифрует файлы на USB-накопителях, и ее присутствие сохраняется в активных атаках до 2025 года.
-----

LCRYX - это программа-вымогатель на основе VBScript, которая появилась в ноябре 2024 года и с тех пор была повторно идентифицирована с расширенными возможностями в феврале 2025 года. Эта программа-вымогатель специально предназначена для операционных систем Windows и использует методы шифрования Caesar cipher и XOR для шифрования файлов, добавляя расширение ".lcryx" к именам уязвимых файлов. При запуске LCRYX заставляет зараженную систему использовать 100% ресурсов процессора в процессе шифрования, что существенно влияет на производительность системы.

Вредоносная программа стратегически определяет, на какие каталоги нацелиться, в зависимости от версии Windows, на которой она запущена. Кроме того, LCRYX включает функции для отключения определенных системных процессов путем завершения работы любого перечисленного системного администрирования или антивирусного программного обеспечения, которые могут помешать его работе. Он также активно шифрует любые файлы, найденные на подключенных USB-накопителях, что увеличивает его потенциальное воздействие.

После шифрования файлов LCRYX требует выкуп в размере 500 долларов в биткоинах за ключ расшифровки, принуждая жертв к соблюдению требований, чтобы восстановить доступ к своим данным. По состоянию на начало 2025 года LCRYX по-прежнему подвергается различным активным атакам, что свидетельствует о его стойкости в среде хакеров. Компания SonicWall Capture Labs разработала сигнатуру для защиты от этой программы-вымогателя, которая помогает обнаруживать и смягчать ее воздействие на пользователей.

#ParsedReport #CompletenessHigh
08-06-2025

IBM X-Force Threat Analysis: DCRat presence growing in Latin America

https://www.ibm.com/think/x-force/dcrat-presence-growing-in-latin-america

Report completeness: High

Actors/Campaigns:
Hive0131
Hive0148
Hive0149
Hive0153

Threats:
Dcrat
Vmdetectloader
Process_injection_technique
Process_hollowing_technique
Adwind_rat
Sambaspy
Quasar_rat
Njrat

Victims:
The judiciary of colombia, Users within latam

Industry:
Financial

Geo:
Latin america, Latin american, Latam, Colombia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1027, T1027.002, T1055.012, T1059.001, T1059.005, T1059.007, T1071.001, T1105, T1140, have more...

IOCs:
File: 16
Domain: 1
Url: 6
Path: 4
IP: 1
Registry: 1
Hash: 9

Soft:
Instagram

Algorithms:
xor, zip, base64, sha256

Functions:
ZwUnmapViewOfSection, SetThreadContex

Win API:
CreateProcess, VirtualAllocEx, WriteProcessMemory, GetThreadContext, ResumeThread

Languages:
javascript, powershell

Links:
https://github.com/robsonfelix/VMDetector
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года группа Hive0131 провела фишинговые кампании в Колумбии, используя вредоносные PDF-файлы и ссылки на документы Google для доставки VMDetectLoader, который запускает DCRat после обхода обнаружения в изолированной среде. В процессе заражения использовались ZIP-файлы, защищенные паролем, а также такие методы, как обработка данных для внедрения вредоносных программ. Это свидетельствует о растущей тенденции распространения вредоносных программ как услуги и фишинговых угроз, нацеленных на финансовые учреждения в Латинской Америке.
-----

В мае 2025 года хакерская группа Hive0131 провела фишинговые кампании, направленные против юридических лиц в Колумбии, выдавая себя за представителей судебной системы Колумбии. Эти рассылки содержали либо PDF-файл с вредоносной ссылкой, либо встроенные ссылки, перенаправляющие жертв на документы Google. Для получения электронных писем с приманкой в формате PDF жертвы загружали ZIP-файл с именем "1Juzgado 08 Civil Circuito de Bogot Notificacion electronica Orden de Embargo.uue", который содержал как безобидные файлы, так и вредоносный файл JavaScript. Этот JavaScript-файл загрузил дополнительную полезную нагрузку с сайта paste.ee и запустил ее с помощью PowerShell. Загрузчик с именем VMDetectLoader определяет, работает ли он в изолированной среде, и после проверки переходит к выполнению вредоносной полезной нагрузки.

Процесс заражения был инициирован с помощью фишинговых электронных писем, которые также содержали другой ZIP-архив, требующий ввода пароля, указанного в электронном письме. Этот архив содержал пакетный файл, предназначенный для загрузки скрипта VBS, который затем запускал скрипт PowerShell для дальнейшего распространения VMDetectLoader. VMDetectLoader специально использует методы обфускации и способен проверять наличие виртуальных сред, останавливая выполнение при обнаружении таких сред.

Важной характеристикой VMDetectLoader является его способность выполнять блокировку процессов, внедряя вредоносную конечную полезную нагрузку, DCRat, в легитимные процессы, такие как MSBuild.exe. Загрузчик был создан на основе проектов с открытым исходным кодом и использует несколько функций для управления своей вредоносной активностью. Успех атаки зависит от порядка загрузки полезных данных и методичного создания запланированных задач, обеспечивающих их постоянство.

IBM X-Force подчеркнула, что в латиноамериканском мире угроз различные группы активно внедряют вредоносные программы как услугу (MaaS), в частности, банковские трояны являются основной целью для получения финансовой выгоды. Было замечено, что эти группы, включая Hive0148 и Hive0149, распространяют известное банковское вредоносное ПО, такое как Grandoriero, в то время как Hive0131 переключила внимание на более частое использование DCRat в своих кампаниях. Учитывая эти тенденции, Латинская Америка остается уязвимой для продолжающихся фишинговых кампаний, нацеленных на конфиденциальную информацию, что свидетельствует о постоянном интересе хакеров к использованию пользователей в этом регионе.

#ParsedReport #CompletenessLow
08-06-2025

GuLoader Brings the Noise and the Obfuscation

https://www.sonicwall.com/blog/guloader-brings-the-noise-and-the-obfuscation

Report completeness: Low

Threats:
Cloudeye
Antidebugging_technique

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055.001, T1070.004, T1140, T1204.002

IOCs:
File: 21
Path: 18
Registry: 6
Hash: 2

Soft:
NSIS installer

Win API:
GetFileTime, SetFilePointer

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GuLoader - это продвинутый дроппер и инфокрад, который использует такие методы, как сбор учетных данных и защита от вирусов. Он использует установщик NSIS с поддельным сертификатом, удаляет файлы для обфускации и динамически загружает библиотеки, поддерживая постоянство путем чтения из временных файлов, которые быстро удаляются.
-----

Команда исследователей угроз SonicWall Capture Labs провела анализ GuLoader, сложного дроппера и инфокрадщика, который демонстрирует несколько передовых хакерских приемов, включая сбор учетных данных, уклонение от обнаружения антивирусом и создание персистентности. Вредоносная программа работает, удаляя различные файлы, которые выполняют функцию таймеров и "канареек", которые помогают поддерживать ее присутствие в системе жертвы.

Основным проанализированным образцом является установочный пакет NSIS, содержащий цифровой сертификат с истекшим сроком действия, присвоенный "Slot", а также вымышленный адрес электронной почты. В этом пакете присутствует важный DLL-файл "System.dll"; он остается незащищенным и, по-видимому, служит для разведки GuLoader во время его выполнения. После запуска программы установки GuLoader удаляет несколько файлов по указанному пути, используя динамические вызовы API и методы загрузки библиотек для улучшения своих методов обфускации.

Изучение тонкостей работы GuLoader показывает, что он загружает несколько библиотек, а именно propsys.dll, uxtheme.dll и clbcatq.dll — с помощью измененного пути поиска в функции, известной как sub_406877. Во время выполнения основной файл, о котором идет речь, идентифицируется как "Harmin.For", но, что важно, GuLoader получает доступ только к нулевым байтам из него. Хотя дополнительная полезная загрузка потенциально может изменить поведение вредоносной программы, в ходе текущего анализа таких изменений обнаружено не было. Более того, значительная часть работы GuLoader скрыта из-за его метода чтения байтов из временного файла, содержимое которого удаляется сразу после обращения к нему. Эта стратегия демонстрирует способность GuLoader выполнять различные задачи, зависящие от входных данных, которые он получает от других полезных нагрузок. В целом, полученные данные свидетельствуют о том, что GuLoader является универсальной и адаптивной угрозой, способной удерживать свои позиции и развивать тактику в ответ на факторы окружающей среды.

#ParsedReport #CompletenessMedium
08-06-2025

Demystifying Myth Stealer: A Rust Based InfoStealer

https://www.trellix.com/blogs/research/demystifying-myth-stealer-a-rust-based-infostealer/

Report completeness: Medium

Threats:
Mythstealer

Industry:
Entertainment, E-commerce

TTPs:
Tactics: 1
Technics: 13

IOCs:
File: 14
Coin: 3
IP: 1
Domain: 1
Hash: 18
Registry: 2
Path: 2
Url: 10

Soft:
Telegram, chrome, firefox, opera, kometa, orbitum, centbrowser, 7star, vivaldi, epicprivacybrowser, have more...

Crypto:
bitcoin, ethereum

Algorithms:
zip, base64, md5, xor, aes

Win API:
ShellExecuteW

Languages:
rust, java, swift

Links:
https://github.com/NationalSecurityAgency/ghidra/blob/master/Ghidra/Features/Decompiler/ghidra\_scripts/ShowCCallsScript.java
https://github.com/NationalSecurityAgency/ghidra/blob/master/Ghidra/Features/Base/ghidra\_scripts/EmuX86DeobfuscateExampleScript.java
https://github.com/NationalSecurityAgency/ghidra/blob/master/Ghidra/Features/Base/ghidra\_scripts/AssembleScript.java
have more...