#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GuLoader - это продвинутый дроппер и инфокрад, который использует такие методы, как сбор учетных данных и защита от вирусов. Он использует установщик NSIS с поддельным сертификатом, удаляет файлы для обфускации и динамически загружает библиотеки, поддерживая постоянство путем чтения из временных файлов, которые быстро удаляются.
-----

Команда исследователей угроз SonicWall Capture Labs провела анализ GuLoader, сложного дроппера и инфокрадщика, который демонстрирует несколько передовых хакерских приемов, включая сбор учетных данных, уклонение от обнаружения антивирусом и создание персистентности. Вредоносная программа работает, удаляя различные файлы, которые выполняют функцию таймеров и "канареек", которые помогают поддерживать ее присутствие в системе жертвы.

Основным проанализированным образцом является установочный пакет NSIS, содержащий цифровой сертификат с истекшим сроком действия, присвоенный "Slot", а также вымышленный адрес электронной почты. В этом пакете присутствует важный DLL-файл "System.dll"; он остается незащищенным и, по-видимому, служит для разведки GuLoader во время его выполнения. После запуска программы установки GuLoader удаляет несколько файлов по указанному пути, используя динамические вызовы API и методы загрузки библиотек для улучшения своих методов обфускации.

Изучение тонкостей работы GuLoader показывает, что он загружает несколько библиотек, а именно propsys.dll, uxtheme.dll и clbcatq.dll — с помощью измененного пути поиска в функции, известной как sub_406877. Во время выполнения основной файл, о котором идет речь, идентифицируется как "Harmin.For", но, что важно, GuLoader получает доступ только к нулевым байтам из него. Хотя дополнительная полезная загрузка потенциально может изменить поведение вредоносной программы, в ходе текущего анализа таких изменений обнаружено не было. Более того, значительная часть работы GuLoader скрыта из-за его метода чтения байтов из временного файла, содержимое которого удаляется сразу после обращения к нему. Эта стратегия демонстрирует способность GuLoader выполнять различные задачи, зависящие от входных данных, которые он получает от других полезных нагрузок. В целом, полученные данные свидетельствуют о том, что GuLoader является универсальной и адаптивной угрозой, способной удерживать свои позиции и развивать тактику в ответ на факторы окружающей среды.

#ParsedReport #CompletenessMedium
08-06-2025

Demystifying Myth Stealer: A Rust Based InfoStealer

https://www.trellix.com/blogs/research/demystifying-myth-stealer-a-rust-based-infostealer/

Report completeness: Medium

Threats:
Mythstealer

Industry:
Entertainment, E-commerce

TTPs:
Tactics: 1
Technics: 13

IOCs:
File: 14
Coin: 3
IP: 1
Domain: 1
Hash: 18
Registry: 2
Path: 2
Url: 10

Soft:
Telegram, chrome, firefox, opera, kometa, orbitum, centbrowser, 7star, vivaldi, epicprivacybrowser, have more...

Crypto:
bitcoin, ethereum

Algorithms:
zip, base64, md5, xor, aes

Win API:
ShellExecuteW

Languages:
rust, java, swift

Links:
https://github.com/NationalSecurityAgency/ghidra/blob/master/Ghidra/Features/Decompiler/ghidra\_scripts/ShowCCallsScript.java
https://github.com/NationalSecurityAgency/ghidra/blob/master/Ghidra/Features/Base/ghidra\_scripts/EmuX86DeobfuscateExampleScript.java
https://github.com/NationalSecurityAgency/ghidra/blob/master/Ghidra/Features/Base/ghidra\_scripts/AssembleScript.java
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Myth Stealer - это сложная вредоносная программа-инфокрад, созданная в Rust и использующая передовые методы защиты от взлома. Она распространяется через мошеннические игровые сайты, отслеживает конфиденциальные данные пользователей в браузерах и взаимодействует с сервером C2 для сбора данных. Вредоносная программа также перехватывает криптовалютные транзакции и делает снимки экрана, демонстрируя свои сложные операционные возможности.
-----

Недавно обнаруженная вредоносная программа infostealer, получившая название Myth Stealer, примечательна своим программным обеспечением Rust programming foundation и сложными методами сохранения. Первоначально обнаруженная в ходе проактивного поиска угроз Центром перспективных исследований Trellix, эта вредоносная программа активно продавалась в Telegram с конца декабря 2024 года. Первоначально предлагавшийся в качестве бесплатной пробной версии, он перешел на модель подписки, позволяющую получать постоянные обновления и новые функциональные возможности. Myth Stealer в основном распространяется через мошеннические игровые веб-сайты, маскируясь под программное обеспечение, связанное с играми, обычно размещаемое в различных архивных форматах (например, RAR и ZIP), часто защищенных паролем.

После запуска вредоносная программа отображает поддельное окно, чтобы ввести пользователя в заблуждение, в то же время незаметно расшифровывая и выполняя реальную вредоносную нагрузку в фоновом режиме. Этот компонент загрузчика использует методы шифрования, такие как XOR или AES, с использованием Rust-ящика, известного как "include-crypt`. После расшифровки 64-разрядная библиотека DLL stealer использует передовые методы антианализа. Она проверяет наличие определенных файлов и имен пользователей, чтобы определить, находится ли она в изолированной среде, и завершает свой процесс, если выполняются такие условия. Stealer умело собирает конфиденциальные пользовательские данные из различных приложений, в частности, ориентируясь как на браузеры на базе Gecko, так и на Chromium. Для целей Chromium он использует удаленную отладку для извлечения файлов cookie, а в своих последних версиях пытается получить административные привилегии, используя ShellExecuteW в Windows API.

Вредоносная программа обладает агрессивными возможностями по утечке данных, связываясь со своим сервером управления (C2) по IP-адресу 185.224.3.219:8080. В предыдущих версиях использовалась связь на основе домена, но текущая модель предполагает, что данные компилируются в ZIP-файлы и передаются через определенные конечные точки, часто используя методы обфускации, такие как кодирование в формате base64 или изменение байта для дополнительной скрытности. Вредоносная программа в конечном счете передает собранную информацию на веб-сайт злоумышленника, включая файлы cookie и токены, в структурированном формате.

Более того, Myth Stealer включает в себя такие функции, как мониторинг буфера обмена для перехвата криптовалютных транзакций, заменяя адреса предполагаемых получателей адресами злоумышленника. После этапа сбора данных программа за миллисекунды делает скриншоты скомпрометированных систем, что еще больше повышает ее оперативную эффективность. Вредоносная программа реплицируется в системных каталогах для обеспечения постоянства, что указывает на хорошо организованную и адаптивную вредоносную операцию.

#ParsedReport #CompletenessHigh
08-06-2025

The Bitter End: Unraveling Eight Years of Espionage Antics Part Two

https://www.threatray.com/blog/the-bitter-end-unraveling-eight-years-of-espionage-antics-part-two

Report completeness: High

Actors/Campaigns:
Bitter (motivation: cyber_espionage)
Mysterious_elephant

Threats:
Miyarat
Artradownloader
Wscspl
Bdarkrat
Almond_rat
Wmrat
Orpcbackdoor
Kiwistealer
Kugelblitz
Splinter_tool
Darkagentrat
Zxxz_loader
Trurat
Havoc

Industry:
Government

Geo:
Pakistan, Indian

ChatGPT TTPs:
do not use without manual check
T1020, T1022, T1027, T1059, T1071.001, T1082, T1105, T1113, T1140, T1204, have more...

IOCs:
Hash: 28
Domain: 18
IP: 1
Path: 1
File: 3

Algorithms:
base64, xor, pbkdf2, aes-256-cbc, exhibit

Functions:
GetComputerName

Win API:
ShellExecuteA, CreateProcessA, VirtualAlloc, OpenClipboard, IsClipboardFormatAvailable, GetClipboardData, LoadStringA, CreateThread, getaddrinfo, CreateToolhelp32Snapshot, have more...

Languages:
powershell

Platforms:
amd64, x86

YARA: Found

Links:
https://github.com/threatray/threat-research

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 56, table: 3, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года Proofpoint обнаружила MiyaRAT версии 5.0 от the Bitter spionage group, которая использует обновленный алгоритм расшифровки строк и жестко закодированный ключ. Вредоносные программы группы, в том числе BDarkRAT и ArtraDownloader, демонстрируют прогрессивную сложность и согласованные TTP для сбора и сохранения системных данных, используя передовые методы шифрования, такие как XOR и AES-256-CBC.
-----

В мае 2025 года Proofpoint представила новый вариант MiyaRAT, обозначенный как версия 5.0. Этот вариант сохраняет большую часть функциональности предыдущих версий, но включает обновленный алгоритм вычитания символов для расшифровки строк, при этом все еще зависит от жестко закодированного двоичного ключа. Эта эволюция отражает постепенный переход от более ранних версий вредоносного ПО, используемых группой Bitter, возможности которой с 2016 года значительно расширились - от простых загрузчиков до более сложных троянов удаленного доступа (RATs).

Bitter, которая была признана шпионской группой, использует различные семейства вредоносных программ, отличающихся согласованными шаблонами кодирования и общим опытом разработки. В их арсенале есть ArtraDownloader, BDarkRAT, MiyaRAT и другие, каждый из которых предназначен для выполнения схожих функций, таких как сбор системной информации и поддержание постоянства на зараженных компьютерах. Например, ArtraDownloader устанавливает постоянство, копируя себя по заранее определенным путям и изменяя ключи реестра. BDarkRAT, впервые представленный в 2019 году, поддерживает архитектуру .NET, собирает системные данные и выполняет команды, используя числовые команды и методы шифрования, такие как XOR и AES-256-CBC, для обеспечения безопасной связи.

Компания MiyaRAT, основанная в 2024 году, подключается к своим серверам управления (C2) с помощью жестко запрограммированного порта и способна выполнять множество командных функций, адаптируя свои методы шифрования к различным вариантам. KiwiStealer, инструмент для фильтрации файлов, выпущенный в конце 2024 года, использует уникальные методы кодирования, такие как перестановка строк и модифицированный шифр Цезаря. KugelBlitz, загрузчику шеллкода из того же периода времени, поручено загружать и выполнять шеллкод из указанных путей к файлам.

Несмотря на различия между различными семействами вредоносных программ, заметные тенденции, методы и процедуры (TTP) очевидны. Вредоносная программа последовательно собирает схожую системную информацию, такую как имя компьютера, логин пользователя и сведения об операционной системе, что подчеркивает системный подход к первоначальному поиску жертв. Ранние вредоносные программы в основном использовали простые методы кодирования, такие как символьная арифметика, в то время как более поздние версии, такие как MuuyDownloader и MiyaRAT, включали шифрование XOR, а семейства .NET, такие как BDarkRAT и AlmondRAT, использовали шифрование AES-256-CBC с использованием ключей, полученных из PBKDF2.

Оперативные методы Bitter и обширный анализ вредоносных программ указывают на структурированный подход к кибершпионажу, который, по-видимому, соответствует интересам индийского правительства. Это продолжающееся исследование описывает постоянную эволюцию тактики и инструментов группы и дает важную информацию для раннего обнаружения и пресечения их деятельности в сообществе кибербезопасности.

#ParsedReport #CompletenessLow
08-06-2025

Cobalt on the weekends

https://intelinsights.substack.com/p/cobalt-on-the-weekends

Report completeness: Low

Threats:
Cobalt_strike_tool

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1036, T1071, T1595

IOCs:
IP: 168
Domain: 71

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, code: 3, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ позволил внедрить новые индикаторы компрометации (IOCs) для улучшения обнаружения Cobalt Strike, инструмента, которым злоупотребляют хакеры. Метод JARM в сочетании со специфическими HTTP-заголовками помогает идентифицировать уникальные сигнатуры, связанные с Cobalt Strike.
-----

Недавние исследования Cobalt Strike hunting выявили новые индикаторы компрометации (IOCs), которые могут расширить возможности обнаружения. Уточняя и обновляя существующие правила поиска, аналитики могут лучше выявлять случаи использования Cobalt Strike, широко используемого инструмента тестирования на проникновение, который также использовался хакерами в злонамеренных целях.

Одним из ключевых методов, использованных в ходе этого анализа, было применение JARM, которое позволяет эффективно обнаруживать уникальные сигнатуры. В сочетании с ранее идентифицированными HTTP-заголовками, связанными с Cobalt Strike, метод JARM предлагает многообещающий способ обнаружения дополнительных экземпляров инструмента в различных средах. Совместное использование IOCs и JARM означает проактивный подход к поиску угроз, позволяющий использовать новые данные для усиления защиты от потенциальных атак злоумышленников, использующих Cobalt Strike в неблаговидных целях.

#ParsedReport #CompletenessHigh
09-06-2025

Analysis of the Triple Combo Threat of the Kimsuky Group

https://www.genians.co.kr/en/blog/threat_intelligence/triple-combo?hsCtaAttrib=190648287073

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Spear-phishing_technique
Appleseed
Babyshark
Randomquery
Flowerpower
Gold_dragon
Vmprotect_tool

Victims:
Defense industry, Military, Vaccine manufacturers, Cryptocurrency exchanges, North korea-related activists, North korea defector volunteers, Korea air force academy graduates, Korea naval academy graduates

Industry:
Maritime, Military

Geo:
Korea, Usa, North korean, Korean, North korea

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1041, T1059.001, T1059.005, T1071.001, T1140, T1218.010, T1497.001, have more...

IOCs:
File: 9
Domain: 13
Path: 6
Registry: 2
Hash: 24

Soft:
Slack, Instagram, Telegram

Algorithms:
base64, zip, md5, xor, rc4

Win API:
DllInstall, CreateProcessW, CreatePipe, OpenProcessToken, GetTokenInformation, CryptGenRandom, CryptDeriveKey, CryptImportKey, GetTickCount, InternetReadFile, have more...

Languages:
powershell, jscript, swift

#ParsedReport #ExtractedSchema

Classified images:
dump: 19, windows: 6, schema: 4, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Kimsuky, связанная с Северной Кореей, использует мультиплатформенную стратегию APT для отслеживания лиц, связанных с Северной Кореей, используя фишинг-атаки через Facebook, электронную почту и Telegram. Их вредоносное ПО, замаскированное в защищенных паролем архивах EGG, содержит запутанные файлы JScript, которые создают ложные документы во время выполнения вредоносных действий и взаимодействуют с сервером C2 для утечки данных.
-----

Хакерская группа Kimsuky, спонсируемая государством хакерская организация, связанная с Северной Кореей, реализует сложную трехэтапную стратегию проникновения через Facebook, электронную почту и Telegram. В период с марта по апрель 2025 года компания Kimsuky запустила кампанию APT (АПТ), направленную против лиц, причастных к деятельности, связанной с Северной Кореей. Злоумышленники использовали аккаунты в Facebook, выдавая себя за благотворителей или лиц, занимающихся научными исследованиями, для установления контактов с целями, постепенно заставляя их загружать вредоносные файлы, замаскированные под документы, связанные с волонтерской деятельностью северокорейских перебежчиков.

Вредоносные файлы часто доставлялись в виде защищенных паролем архивов EGG, в которых использовались специальные корейские сжатые форматы, позволяющие избежать обнаружения средствами защиты на основе сигнатур. Для привлечения пользователей к работе с вредоносным контентом применялась тактика скрытого фишинга, при этом злоумышленники отдавали предпочтение вложениям электронной почты, для распаковки которых требовались специальные инструменты. Такой подход препятствовал доступу с мобильных устройств, поскольку вредоносное ПО было разработано для работы в среде Windows. Кампания под названием "AppleSeed", ранее ассоциировавшаяся с Kimsuky, постоянно нацелена на такие отрасли, как оборона, вооруженные силы и производители вакцин.

Ключевым компонентом вредоносной программы является расширение файла JSE, в котором содержится замаскированный файл JScript, выполняемый под управлением Microsoft Windows Script Host. При запуске эти файлы создают ложный документ и одновременно генерируют вредоносный DLL-файл, который выполняет реальные вредоносные действия. Библиотека DLL, защищенная VMProtect для предотвращения обратного проектирования, выполняет различные вредоносные функции, включая автоматическую загрузку самой себя при запуске системы с помощью манипуляций с реестром. Он взаимодействует с сервером управления (C2) с помощью структурированных HTTP-запросов, обеспечивая непрерывное выполнение команд и фильтрацию данных.

Тактика Kimsuky демонстрирует скоординированное использование нескольких платформ для целенаправленных атак и эволюцию их методов, о чем свидетельствуют последовательные схемы использования вредоносных скриптов в различных инцидентах. Активные усилия Genians по выявлению и мониторингу, использующие технологию EDR и машинное обучение, подчеркивают постоянные риски, связанные с такими активными кампаниями. В целом, подход Kimsuky является примером сочетания социальной инженерии, изощренного вредоносного ПО и интеграции стратегической платформы, направленной на проникновение в определенные группы, что подчеркивает важность передовых мер по обнаружению угроз для снижения этих рисков.

#ParsedReport #CompletenessHigh
09-06-2025

Follow the Smoke \| China-nexus Threat Actors Hammer At the Doors of Top Tier Targets

https://www.sentinelone.com/labs/follow-the-smoke-china-nexus-threat-actors-hammer-at-the-doors-of-top-tier-targets/

Report completeness: High

Actors/Campaigns:
Purplehaze (motivation: cyber_espionage)
Playful_taurus (motivation: cyber_espionage)
Unc5174 (motivation: cyber_espionage)
Winnti
Mysterious_elephant

Threats:
Smokeloader
Shadowpad
Scatterbrain_tool
Nailaolocker
Goreshell
Goreverse
Nimbo-c2
Dll_hijacking_technique
Garble_tool
Timestomp_technique

Victims:
Sentinelone, It services and logistics company, South asian government entity, European media organization, Over 70 organizations

Industry:
Logistic, Government, Telco, Financial

Geo:
Asian, Chinese, Asia, Middle east, Iran, French, China

CVEs:
CVE-2024-8963 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint manager cloud services appliance (4.6)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2024-8190 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti cloud services appliance (4.6)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1033, T1036.005, T1059.001, T1070.001, T1070.006, T1071.001, T1078, T1105, have more...

IOCs:
File: 11
Path: 4
Url: 1
Domain: 13
IP: 8
Coin: 1
Hash: 13

Soft:
ORB networks, ORB network, curl, Windows service, OPENSSH, Linux, Windows Telephony Server, sudo, Ivanti

Algorithms:
base64, sha1, exhibit

Win Services:
VGAuthService

Languages:
php, powershell

Links:
https://github.com/burrowers/garble
https://github.com/NHAS/reverse\_ssh
have more...
https://github.com/itaymigdal/Nimbo-C2

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайские хакеры из кластеров PurpleHaze и ShadowPad осуществляли кибератаки, используя вредоносное ПО ShadowPad с передовыми методами обфускации и нацеливаясь на различные сектора и организации. Они воспользовались уязвимостями (CVE-2024-8963, CVE-2024-8190), используя такие инструменты, как AppSov.exe и GOREshell, для утечки данных и обхода C2, что указывает на сложную оперативную тактику.
-----

Во второй половине 2024 года и в начале 2025 года SentinelLabs сообщала о многочисленных совместных хакерских действиях, приписываемых китайским хакерам в кластерах PurpleHaze и ShadowPad. Эти действия включали в себя разведку и попытки проникновения в организации, в том числе в SentinelOne и фирму, предоставляющую ИТ-услуги, отвечающую за материально-техническое обеспечение сотрудников SentinelOne. Примечательно, что злоумышленникам не удалось взломать системы SentinelOne.

Вредоносная программа ShadowPad, модульный бэкдор, который часто ассоциируется с китайским кибершпионажем, была использована при атаках на правительственное учреждение Южной Азии в июне 2024 года. Вредоносная программа использовала метод обфускации, известный как ScatterBrain, и артефакты выявили более широкую кампанию, нацеленную на широкий спектр секторов, затронувшую более 70 организаций по всему миру в период с июля 2024 по март 2025 года. Считается, что первоначальный вектор доступа для этих вторжений связан с использованием сетевых устройств, таких как шлюзы Check Point.

В исследовании также освещаются методы, тактики и процедуры (TTP), используемые злоумышленниками. Например, вредоносное программное обеспечение AppSov.exe было запущено с помощью команды PowerShell, которая включала загрузку и запуск полезной нагрузки с последующей перезагрузкой системы. После заражения он удалил конфиденциальные данные из скомпрометированных систем и использовал DNS через HTTPS, чтобы скрыть свои коммуникации командования и контроля (C2), что свидетельствует о сложном уровне уклонения.

Дополнительные инциденты включали развертывание бэкдоров GOREshell, которые были установлены с использованием методов перехвата библиотек DLL в законных службах, что позволяло выполнять команды удаленно. Каждый шаг в последовательности атаки указывал на тщательный подход к обфускации и удалению доказательств, например, использование манипуляций с метками времени для вредоносных исполняемых файлов и развертывание средств удаления журналов.

Данные разведки также свидетельствуют о том, что число атак на поставщиков услуг кибербезопасности растет, и китайские хакеры сосредоточивают свои усилия на компаниях, которые управляют критически важной инфраструктурой безопасности. Используемые уязвимости, в частности CVE-2024-8963 и CVE-2024-8190, были использованы для получения доступа до публичного раскрытия, что подчеркивает своевременность и серьезность таких угроз.

С помощью этого анализа SentinelLabs стремится повысить осведомленность об уязвимостях, с которыми сталкиваются компании, занимающиеся кибербезопасностью, и выступает за улучшение сотрудничества в отрасли и повышение прозрачности. По мере развития хакерских атак сохраняется значительная потребность в постоянной бдительности и обмене разведывательной информацией, чтобы лучше снизить будущие риски, связанные с постоянными противниками со стороны национальных государств.