#ParsedReport #CompletenessLow
08-06-2025

PumaBot Linux Botnet Targets IoT Surveillance Devices

https://blog.polyswarm.io/pumabot-linux-botnet-targets-iot-surveillance-devices

Report completeness: Low

Threats:
Pumabot
Xmrig_miner

Industry:
Iot

ChatGPT TTPs:
do not use without manual check
T1016, T1036, T1036.005, T1041, T1059.004, T1078.003, T1082, T1105, T1210, T1496, have more...

IOCs:
File: 1
Domain: 1
Hash: 3

Soft:
linux, Redis, systemd, MySQL

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PumaBot - это ботнет, написанный на платформе Go, нацеленный на устройства Linux IoT, использующий SSH-атаки методом перебора для получения доступа и маскирующийся под службу Redis для обеспечения сохраняемости. Он собирает конфиденциальную информацию и выполняет команды по добыче криптовалюты, используя методы уклонения, чтобы избежать обнаружения, что указывает на целенаправленную и скоординированную кампанию вредоносного ПО.
-----

PumaBot - это вредоносная ботнет-сеть, написанная на Go и специально разработанная для работы с IoT-устройствами на базе Linux. Стратегия заражения начинается с получения списков целей с сервера управления (C2) и использования учетных данных SSH, в первую очередь для устройств с открытыми SSH-портами. После успешного получения доступа PumaBot устанавливается на скомпрометированное устройство, записывая свой двоичный файл в /lib/redis, маскируясь под законную службу Redis. Чтобы обеспечить постоянство, он создает служебные файлы systemd с такими именами, как redis.service или mysqI.service (последнее хитро напоминает MySQL), что позволяет ему выдерживать перезагрузки системы и вписываться в законные процессы.

Ботнет не только компрометирует системы, но и собирает конфиденциальную системную информацию, такую как название операционной системы, версия ядра, архитектура и сведения о подключении, включая IP-адрес, имя пользователя и пароль. Эта информация упаковывается и отправляется обратно на сервер C2 в формате JSON с использованием пользовательского HTTP-заголовка для передачи. Основной функцией PumaBot является выполнение команд для майнинга криптовалюты, таких как "xmrig" и "networkxm". Отсутствие полных спецификаций путей для этих команд означает, что на зараженный хост могут быть загружены или выполнены дополнительные полезные данные, что увеличивает его производительность.

PumaBot также разработан с возможностью обхода механизмов обнаружения; он использует методы снятия отпечатков пальцев для идентификации системной среды и предотвращения "ловушек", в частности, для поиска строки "Pumatronix", связанной с системами видеонаблюдения. Это указывает на целенаправленный подход, при котором либо фокусируются на конкретных устройствах Интернета вещей, либо исключаются из него. Вместо использования методов самораспространения, характерных для вредоносных программ, подобных червям, PumaBot работает как полуавтоматическая ботнет-сеть, обеспечивающая охват за счет выбора цели, ориентированной на C2, в сочетании с атаками методом перебора.

Дальнейший анализ выявил связанные компоненты вредоносного ПО, такие как *ddaemon*, который действует как бэкдор, извлекающий и запускающий компонент интеллектуального анализа данных *networkxm*, а также *installx.sh *, командный скрипт, отвечающий за загрузку дополнительной полезной нагрузки и очистку истории bash, чтобы избежать обнаружения. Эти элементы указывают на скоординированную кампанию с использованием множества инструментов, работающих синергетически, чтобы увеличить охват и долговечность вредоносного ПО. Из-за своих функций и действий PumaBot считается новым видом хакерской деятельности, требующей бдительности со стороны сообществ безопасности.

#ParsedReport #CompletenessLow
08-06-2025

LCRYX Ransomware Utilizes Weak Encryption, Demands $500 Bitcoin Payment

https://www.sonicwall.com/blog/lcryx-ransomware-utilizes-weak-encryption-demands-500-bitcoin-payment

Report completeness: Low

Threats:
Lcrypt

ChatGPT TTPs:
do not use without manual check
T1059.005, T1083, T1486, T1489

IOCs:
Registry: 1
File: 1

Crypto:
bitcoin

Algorithms:
xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LCRYX - это программа-вымогатель на VBScript, предназначенная для Windows, использующая Caesar cipher и XOR для шифрования и изменяющая имена файлов с помощью ".lcryx". Он отключает антивирусные процессы, потребляет 100% ресурсов процессора при шифровании и требует 500 долларов в биткоинах за расшифровку. Вредоносная программа также шифрует файлы на USB-накопителях, и ее присутствие сохраняется в активных атаках до 2025 года.
-----

LCRYX - это программа-вымогатель на основе VBScript, которая появилась в ноябре 2024 года и с тех пор была повторно идентифицирована с расширенными возможностями в феврале 2025 года. Эта программа-вымогатель специально предназначена для операционных систем Windows и использует методы шифрования Caesar cipher и XOR для шифрования файлов, добавляя расширение ".lcryx" к именам уязвимых файлов. При запуске LCRYX заставляет зараженную систему использовать 100% ресурсов процессора в процессе шифрования, что существенно влияет на производительность системы.

Вредоносная программа стратегически определяет, на какие каталоги нацелиться, в зависимости от версии Windows, на которой она запущена. Кроме того, LCRYX включает функции для отключения определенных системных процессов путем завершения работы любого перечисленного системного администрирования или антивирусного программного обеспечения, которые могут помешать его работе. Он также активно шифрует любые файлы, найденные на подключенных USB-накопителях, что увеличивает его потенциальное воздействие.

После шифрования файлов LCRYX требует выкуп в размере 500 долларов в биткоинах за ключ расшифровки, принуждая жертв к соблюдению требований, чтобы восстановить доступ к своим данным. По состоянию на начало 2025 года LCRYX по-прежнему подвергается различным активным атакам, что свидетельствует о его стойкости в среде хакеров. Компания SonicWall Capture Labs разработала сигнатуру для защиты от этой программы-вымогателя, которая помогает обнаруживать и смягчать ее воздействие на пользователей.

#ParsedReport #CompletenessHigh
08-06-2025

IBM X-Force Threat Analysis: DCRat presence growing in Latin America

https://www.ibm.com/think/x-force/dcrat-presence-growing-in-latin-america

Report completeness: High

Actors/Campaigns:
Hive0131
Hive0148
Hive0149
Hive0153

Threats:
Dcrat
Vmdetectloader
Process_injection_technique
Process_hollowing_technique
Adwind_rat
Sambaspy
Quasar_rat
Njrat

Victims:
The judiciary of colombia, Users within latam

Industry:
Financial

Geo:
Latin america, Latin american, Latam, Colombia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1027, T1027.002, T1055.012, T1059.001, T1059.005, T1059.007, T1071.001, T1105, T1140, have more...

IOCs:
File: 16
Domain: 1
Url: 6
Path: 4
IP: 1
Registry: 1
Hash: 9

Soft:
Instagram

Algorithms:
xor, zip, base64, sha256

Functions:
ZwUnmapViewOfSection, SetThreadContex

Win API:
CreateProcess, VirtualAllocEx, WriteProcessMemory, GetThreadContext, ResumeThread

Languages:
javascript, powershell

Links:
https://github.com/robsonfelix/VMDetector
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года группа Hive0131 провела фишинговые кампании в Колумбии, используя вредоносные PDF-файлы и ссылки на документы Google для доставки VMDetectLoader, который запускает DCRat после обхода обнаружения в изолированной среде. В процессе заражения использовались ZIP-файлы, защищенные паролем, а также такие методы, как обработка данных для внедрения вредоносных программ. Это свидетельствует о растущей тенденции распространения вредоносных программ как услуги и фишинговых угроз, нацеленных на финансовые учреждения в Латинской Америке.
-----

В мае 2025 года хакерская группа Hive0131 провела фишинговые кампании, направленные против юридических лиц в Колумбии, выдавая себя за представителей судебной системы Колумбии. Эти рассылки содержали либо PDF-файл с вредоносной ссылкой, либо встроенные ссылки, перенаправляющие жертв на документы Google. Для получения электронных писем с приманкой в формате PDF жертвы загружали ZIP-файл с именем "1Juzgado 08 Civil Circuito de Bogot Notificacion electronica Orden de Embargo.uue", который содержал как безобидные файлы, так и вредоносный файл JavaScript. Этот JavaScript-файл загрузил дополнительную полезную нагрузку с сайта paste.ee и запустил ее с помощью PowerShell. Загрузчик с именем VMDetectLoader определяет, работает ли он в изолированной среде, и после проверки переходит к выполнению вредоносной полезной нагрузки.

Процесс заражения был инициирован с помощью фишинговых электронных писем, которые также содержали другой ZIP-архив, требующий ввода пароля, указанного в электронном письме. Этот архив содержал пакетный файл, предназначенный для загрузки скрипта VBS, который затем запускал скрипт PowerShell для дальнейшего распространения VMDetectLoader. VMDetectLoader специально использует методы обфускации и способен проверять наличие виртуальных сред, останавливая выполнение при обнаружении таких сред.

Важной характеристикой VMDetectLoader является его способность выполнять блокировку процессов, внедряя вредоносную конечную полезную нагрузку, DCRat, в легитимные процессы, такие как MSBuild.exe. Загрузчик был создан на основе проектов с открытым исходным кодом и использует несколько функций для управления своей вредоносной активностью. Успех атаки зависит от порядка загрузки полезных данных и методичного создания запланированных задач, обеспечивающих их постоянство.

IBM X-Force подчеркнула, что в латиноамериканском мире угроз различные группы активно внедряют вредоносные программы как услугу (MaaS), в частности, банковские трояны являются основной целью для получения финансовой выгоды. Было замечено, что эти группы, включая Hive0148 и Hive0149, распространяют известное банковское вредоносное ПО, такое как Grandoriero, в то время как Hive0131 переключила внимание на более частое использование DCRat в своих кампаниях. Учитывая эти тенденции, Латинская Америка остается уязвимой для продолжающихся фишинговых кампаний, нацеленных на конфиденциальную информацию, что свидетельствует о постоянном интересе хакеров к использованию пользователей в этом регионе.

#ParsedReport #CompletenessLow
08-06-2025

GuLoader Brings the Noise and the Obfuscation

https://www.sonicwall.com/blog/guloader-brings-the-noise-and-the-obfuscation

Report completeness: Low

Threats:
Cloudeye
Antidebugging_technique

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055.001, T1070.004, T1140, T1204.002

IOCs:
File: 21
Path: 18
Registry: 6
Hash: 2

Soft:
NSIS installer

Win API:
GetFileTime, SetFilePointer

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GuLoader - это продвинутый дроппер и инфокрад, который использует такие методы, как сбор учетных данных и защита от вирусов. Он использует установщик NSIS с поддельным сертификатом, удаляет файлы для обфускации и динамически загружает библиотеки, поддерживая постоянство путем чтения из временных файлов, которые быстро удаляются.
-----

Команда исследователей угроз SonicWall Capture Labs провела анализ GuLoader, сложного дроппера и инфокрадщика, который демонстрирует несколько передовых хакерских приемов, включая сбор учетных данных, уклонение от обнаружения антивирусом и создание персистентности. Вредоносная программа работает, удаляя различные файлы, которые выполняют функцию таймеров и "канареек", которые помогают поддерживать ее присутствие в системе жертвы.

Основным проанализированным образцом является установочный пакет NSIS, содержащий цифровой сертификат с истекшим сроком действия, присвоенный "Slot", а также вымышленный адрес электронной почты. В этом пакете присутствует важный DLL-файл "System.dll"; он остается незащищенным и, по-видимому, служит для разведки GuLoader во время его выполнения. После запуска программы установки GuLoader удаляет несколько файлов по указанному пути, используя динамические вызовы API и методы загрузки библиотек для улучшения своих методов обфускации.

Изучение тонкостей работы GuLoader показывает, что он загружает несколько библиотек, а именно propsys.dll, uxtheme.dll и clbcatq.dll — с помощью измененного пути поиска в функции, известной как sub_406877. Во время выполнения основной файл, о котором идет речь, идентифицируется как "Harmin.For", но, что важно, GuLoader получает доступ только к нулевым байтам из него. Хотя дополнительная полезная загрузка потенциально может изменить поведение вредоносной программы, в ходе текущего анализа таких изменений обнаружено не было. Более того, значительная часть работы GuLoader скрыта из-за его метода чтения байтов из временного файла, содержимое которого удаляется сразу после обращения к нему. Эта стратегия демонстрирует способность GuLoader выполнять различные задачи, зависящие от входных данных, которые он получает от других полезных нагрузок. В целом, полученные данные свидетельствуют о том, что GuLoader является универсальной и адаптивной угрозой, способной удерживать свои позиции и развивать тактику в ответ на факторы окружающей среды.

#ParsedReport #CompletenessMedium
08-06-2025

Demystifying Myth Stealer: A Rust Based InfoStealer

https://www.trellix.com/blogs/research/demystifying-myth-stealer-a-rust-based-infostealer/

Report completeness: Medium

Threats:
Mythstealer

Industry:
Entertainment, E-commerce

TTPs:
Tactics: 1
Technics: 13

IOCs:
File: 14
Coin: 3
IP: 1
Domain: 1
Hash: 18
Registry: 2
Path: 2
Url: 10

Soft:
Telegram, chrome, firefox, opera, kometa, orbitum, centbrowser, 7star, vivaldi, epicprivacybrowser, have more...

Crypto:
bitcoin, ethereum

Algorithms:
zip, base64, md5, xor, aes

Win API:
ShellExecuteW

Languages:
rust, java, swift

Links:
https://github.com/NationalSecurityAgency/ghidra/blob/master/Ghidra/Features/Decompiler/ghidra\_scripts/ShowCCallsScript.java
https://github.com/NationalSecurityAgency/ghidra/blob/master/Ghidra/Features/Base/ghidra\_scripts/EmuX86DeobfuscateExampleScript.java
https://github.com/NationalSecurityAgency/ghidra/blob/master/Ghidra/Features/Base/ghidra\_scripts/AssembleScript.java
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Myth Stealer - это сложная вредоносная программа-инфокрад, созданная в Rust и использующая передовые методы защиты от взлома. Она распространяется через мошеннические игровые сайты, отслеживает конфиденциальные данные пользователей в браузерах и взаимодействует с сервером C2 для сбора данных. Вредоносная программа также перехватывает криптовалютные транзакции и делает снимки экрана, демонстрируя свои сложные операционные возможности.
-----

Недавно обнаруженная вредоносная программа infostealer, получившая название Myth Stealer, примечательна своим программным обеспечением Rust programming foundation и сложными методами сохранения. Первоначально обнаруженная в ходе проактивного поиска угроз Центром перспективных исследований Trellix, эта вредоносная программа активно продавалась в Telegram с конца декабря 2024 года. Первоначально предлагавшийся в качестве бесплатной пробной версии, он перешел на модель подписки, позволяющую получать постоянные обновления и новые функциональные возможности. Myth Stealer в основном распространяется через мошеннические игровые веб-сайты, маскируясь под программное обеспечение, связанное с играми, обычно размещаемое в различных архивных форматах (например, RAR и ZIP), часто защищенных паролем.

После запуска вредоносная программа отображает поддельное окно, чтобы ввести пользователя в заблуждение, в то же время незаметно расшифровывая и выполняя реальную вредоносную нагрузку в фоновом режиме. Этот компонент загрузчика использует методы шифрования, такие как XOR или AES, с использованием Rust-ящика, известного как "include-crypt`. После расшифровки 64-разрядная библиотека DLL stealer использует передовые методы антианализа. Она проверяет наличие определенных файлов и имен пользователей, чтобы определить, находится ли она в изолированной среде, и завершает свой процесс, если выполняются такие условия. Stealer умело собирает конфиденциальные пользовательские данные из различных приложений, в частности, ориентируясь как на браузеры на базе Gecko, так и на Chromium. Для целей Chromium он использует удаленную отладку для извлечения файлов cookie, а в своих последних версиях пытается получить административные привилегии, используя ShellExecuteW в Windows API.

Вредоносная программа обладает агрессивными возможностями по утечке данных, связываясь со своим сервером управления (C2) по IP-адресу 185.224.3.219:8080. В предыдущих версиях использовалась связь на основе домена, но текущая модель предполагает, что данные компилируются в ZIP-файлы и передаются через определенные конечные точки, часто используя методы обфускации, такие как кодирование в формате base64 или изменение байта для дополнительной скрытности. Вредоносная программа в конечном счете передает собранную информацию на веб-сайт злоумышленника, включая файлы cookie и токены, в структурированном формате.

Более того, Myth Stealer включает в себя такие функции, как мониторинг буфера обмена для перехвата криптовалютных транзакций, заменяя адреса предполагаемых получателей адресами злоумышленника. После этапа сбора данных программа за миллисекунды делает скриншоты скомпрометированных систем, что еще больше повышает ее оперативную эффективность. Вредоносная программа реплицируется в системных каталогах для обеспечения постоянства, что указывает на хорошо организованную и адаптивную вредоносную операцию.

#ParsedReport #CompletenessHigh
08-06-2025

The Bitter End: Unraveling Eight Years of Espionage Antics Part Two

https://www.threatray.com/blog/the-bitter-end-unraveling-eight-years-of-espionage-antics-part-two

Report completeness: High

Actors/Campaigns:
Bitter (motivation: cyber_espionage)
Mysterious_elephant

Threats:
Miyarat
Artradownloader
Wscspl
Bdarkrat
Almond_rat
Wmrat
Orpcbackdoor
Kiwistealer
Kugelblitz
Splinter_tool
Darkagentrat
Zxxz_loader
Trurat
Havoc

Industry:
Government

Geo:
Pakistan, Indian

ChatGPT TTPs:
do not use without manual check
T1020, T1022, T1027, T1059, T1071.001, T1082, T1105, T1113, T1140, T1204, have more...

IOCs:
Hash: 28
Domain: 18
IP: 1
Path: 1
File: 3

Algorithms:
base64, xor, pbkdf2, aes-256-cbc, exhibit

Functions:
GetComputerName

Win API:
ShellExecuteA, CreateProcessA, VirtualAlloc, OpenClipboard, IsClipboardFormatAvailable, GetClipboardData, LoadStringA, CreateThread, getaddrinfo, CreateToolhelp32Snapshot, have more...

Languages:
powershell

Platforms:
amd64, x86

YARA: Found

Links:
https://github.com/threatray/threat-research

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 56, table: 3, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года Proofpoint обнаружила MiyaRAT версии 5.0 от the Bitter spionage group, которая использует обновленный алгоритм расшифровки строк и жестко закодированный ключ. Вредоносные программы группы, в том числе BDarkRAT и ArtraDownloader, демонстрируют прогрессивную сложность и согласованные TTP для сбора и сохранения системных данных, используя передовые методы шифрования, такие как XOR и AES-256-CBC.
-----

В мае 2025 года Proofpoint представила новый вариант MiyaRAT, обозначенный как версия 5.0. Этот вариант сохраняет большую часть функциональности предыдущих версий, но включает обновленный алгоритм вычитания символов для расшифровки строк, при этом все еще зависит от жестко закодированного двоичного ключа. Эта эволюция отражает постепенный переход от более ранних версий вредоносного ПО, используемых группой Bitter, возможности которой с 2016 года значительно расширились - от простых загрузчиков до более сложных троянов удаленного доступа (RATs).

Bitter, которая была признана шпионской группой, использует различные семейства вредоносных программ, отличающихся согласованными шаблонами кодирования и общим опытом разработки. В их арсенале есть ArtraDownloader, BDarkRAT, MiyaRAT и другие, каждый из которых предназначен для выполнения схожих функций, таких как сбор системной информации и поддержание постоянства на зараженных компьютерах. Например, ArtraDownloader устанавливает постоянство, копируя себя по заранее определенным путям и изменяя ключи реестра. BDarkRAT, впервые представленный в 2019 году, поддерживает архитектуру .NET, собирает системные данные и выполняет команды, используя числовые команды и методы шифрования, такие как XOR и AES-256-CBC, для обеспечения безопасной связи.

Компания MiyaRAT, основанная в 2024 году, подключается к своим серверам управления (C2) с помощью жестко запрограммированного порта и способна выполнять множество командных функций, адаптируя свои методы шифрования к различным вариантам. KiwiStealer, инструмент для фильтрации файлов, выпущенный в конце 2024 года, использует уникальные методы кодирования, такие как перестановка строк и модифицированный шифр Цезаря. KugelBlitz, загрузчику шеллкода из того же периода времени, поручено загружать и выполнять шеллкод из указанных путей к файлам.

Несмотря на различия между различными семействами вредоносных программ, заметные тенденции, методы и процедуры (TTP) очевидны. Вредоносная программа последовательно собирает схожую системную информацию, такую как имя компьютера, логин пользователя и сведения об операционной системе, что подчеркивает системный подход к первоначальному поиску жертв. Ранние вредоносные программы в основном использовали простые методы кодирования, такие как символьная арифметика, в то время как более поздние версии, такие как MuuyDownloader и MiyaRAT, включали шифрование XOR, а семейства .NET, такие как BDarkRAT и AlmondRAT, использовали шифрование AES-256-CBC с использованием ключей, полученных из PBKDF2.

Оперативные методы Bitter и обширный анализ вредоносных программ указывают на структурированный подход к кибершпионажу, который, по-видимому, соответствует интересам индийского правительства. Это продолжающееся исследование описывает постоянную эволюцию тактики и инструментов группы и дает важную информацию для раннего обнаружения и пресечения их деятельности в сообществе кибербезопасности.

#ParsedReport #CompletenessLow
08-06-2025

Cobalt on the weekends

https://intelinsights.substack.com/p/cobalt-on-the-weekends

Report completeness: Low

Threats:
Cobalt_strike_tool

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1036, T1071, T1595

IOCs:
IP: 168
Domain: 71

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, code: 3, schema: 1, windows: 1