#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 56, table: 3, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года Proofpoint обнаружила MiyaRAT версии 5.0 от the Bitter spionage group, которая использует обновленный алгоритм расшифровки строк и жестко закодированный ключ. Вредоносные программы группы, в том числе BDarkRAT и ArtraDownloader, демонстрируют прогрессивную сложность и согласованные TTP для сбора и сохранения системных данных, используя передовые методы шифрования, такие как XOR и AES-256-CBC.
-----

В мае 2025 года Proofpoint представила новый вариант MiyaRAT, обозначенный как версия 5.0. Этот вариант сохраняет большую часть функциональности предыдущих версий, но включает обновленный алгоритм вычитания символов для расшифровки строк, при этом все еще зависит от жестко закодированного двоичного ключа. Эта эволюция отражает постепенный переход от более ранних версий вредоносного ПО, используемых группой Bitter, возможности которой с 2016 года значительно расширились - от простых загрузчиков до более сложных троянов удаленного доступа (RATs).

Bitter, которая была признана шпионской группой, использует различные семейства вредоносных программ, отличающихся согласованными шаблонами кодирования и общим опытом разработки. В их арсенале есть ArtraDownloader, BDarkRAT, MiyaRAT и другие, каждый из которых предназначен для выполнения схожих функций, таких как сбор системной информации и поддержание постоянства на зараженных компьютерах. Например, ArtraDownloader устанавливает постоянство, копируя себя по заранее определенным путям и изменяя ключи реестра. BDarkRAT, впервые представленный в 2019 году, поддерживает архитектуру .NET, собирает системные данные и выполняет команды, используя числовые команды и методы шифрования, такие как XOR и AES-256-CBC, для обеспечения безопасной связи.

Компания MiyaRAT, основанная в 2024 году, подключается к своим серверам управления (C2) с помощью жестко запрограммированного порта и способна выполнять множество командных функций, адаптируя свои методы шифрования к различным вариантам. KiwiStealer, инструмент для фильтрации файлов, выпущенный в конце 2024 года, использует уникальные методы кодирования, такие как перестановка строк и модифицированный шифр Цезаря. KugelBlitz, загрузчику шеллкода из того же периода времени, поручено загружать и выполнять шеллкод из указанных путей к файлам.

Несмотря на различия между различными семействами вредоносных программ, заметные тенденции, методы и процедуры (TTP) очевидны. Вредоносная программа последовательно собирает схожую системную информацию, такую как имя компьютера, логин пользователя и сведения об операционной системе, что подчеркивает системный подход к первоначальному поиску жертв. Ранние вредоносные программы в основном использовали простые методы кодирования, такие как символьная арифметика, в то время как более поздние версии, такие как MuuyDownloader и MiyaRAT, включали шифрование XOR, а семейства .NET, такие как BDarkRAT и AlmondRAT, использовали шифрование AES-256-CBC с использованием ключей, полученных из PBKDF2.

Оперативные методы Bitter и обширный анализ вредоносных программ указывают на структурированный подход к кибершпионажу, который, по-видимому, соответствует интересам индийского правительства. Это продолжающееся исследование описывает постоянную эволюцию тактики и инструментов группы и дает важную информацию для раннего обнаружения и пресечения их деятельности в сообществе кибербезопасности.

#ParsedReport #CompletenessLow
08-06-2025

Cobalt on the weekends

https://intelinsights.substack.com/p/cobalt-on-the-weekends

Report completeness: Low

Threats:
Cobalt_strike_tool

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1036, T1071, T1595

IOCs:
IP: 168
Domain: 71

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, code: 3, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ позволил внедрить новые индикаторы компрометации (IOCs) для улучшения обнаружения Cobalt Strike, инструмента, которым злоупотребляют хакеры. Метод JARM в сочетании со специфическими HTTP-заголовками помогает идентифицировать уникальные сигнатуры, связанные с Cobalt Strike.
-----

Недавние исследования Cobalt Strike hunting выявили новые индикаторы компрометации (IOCs), которые могут расширить возможности обнаружения. Уточняя и обновляя существующие правила поиска, аналитики могут лучше выявлять случаи использования Cobalt Strike, широко используемого инструмента тестирования на проникновение, который также использовался хакерами в злонамеренных целях.

Одним из ключевых методов, использованных в ходе этого анализа, было применение JARM, которое позволяет эффективно обнаруживать уникальные сигнатуры. В сочетании с ранее идентифицированными HTTP-заголовками, связанными с Cobalt Strike, метод JARM предлагает многообещающий способ обнаружения дополнительных экземпляров инструмента в различных средах. Совместное использование IOCs и JARM означает проактивный подход к поиску угроз, позволяющий использовать новые данные для усиления защиты от потенциальных атак злоумышленников, использующих Cobalt Strike в неблаговидных целях.

#ParsedReport #CompletenessHigh
09-06-2025

Analysis of the Triple Combo Threat of the Kimsuky Group

https://www.genians.co.kr/en/blog/threat_intelligence/triple-combo?hsCtaAttrib=190648287073

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Spear-phishing_technique
Appleseed
Babyshark
Randomquery
Flowerpower
Gold_dragon
Vmprotect_tool

Victims:
Defense industry, Military, Vaccine manufacturers, Cryptocurrency exchanges, North korea-related activists, North korea defector volunteers, Korea air force academy graduates, Korea naval academy graduates

Industry:
Maritime, Military

Geo:
Korea, Usa, North korean, Korean, North korea

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1041, T1059.001, T1059.005, T1071.001, T1140, T1218.010, T1497.001, have more...

IOCs:
File: 9
Domain: 13
Path: 6
Registry: 2
Hash: 24

Soft:
Slack, Instagram, Telegram

Algorithms:
base64, zip, md5, xor, rc4

Win API:
DllInstall, CreateProcessW, CreatePipe, OpenProcessToken, GetTokenInformation, CryptGenRandom, CryptDeriveKey, CryptImportKey, GetTickCount, InternetReadFile, have more...

Languages:
powershell, jscript, swift

#ParsedReport #ExtractedSchema

Classified images:
dump: 19, windows: 6, schema: 4, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Kimsuky, связанная с Северной Кореей, использует мультиплатформенную стратегию APT для отслеживания лиц, связанных с Северной Кореей, используя фишинг-атаки через Facebook, электронную почту и Telegram. Их вредоносное ПО, замаскированное в защищенных паролем архивах EGG, содержит запутанные файлы JScript, которые создают ложные документы во время выполнения вредоносных действий и взаимодействуют с сервером C2 для утечки данных.
-----

Хакерская группа Kimsuky, спонсируемая государством хакерская организация, связанная с Северной Кореей, реализует сложную трехэтапную стратегию проникновения через Facebook, электронную почту и Telegram. В период с марта по апрель 2025 года компания Kimsuky запустила кампанию APT (АПТ), направленную против лиц, причастных к деятельности, связанной с Северной Кореей. Злоумышленники использовали аккаунты в Facebook, выдавая себя за благотворителей или лиц, занимающихся научными исследованиями, для установления контактов с целями, постепенно заставляя их загружать вредоносные файлы, замаскированные под документы, связанные с волонтерской деятельностью северокорейских перебежчиков.

Вредоносные файлы часто доставлялись в виде защищенных паролем архивов EGG, в которых использовались специальные корейские сжатые форматы, позволяющие избежать обнаружения средствами защиты на основе сигнатур. Для привлечения пользователей к работе с вредоносным контентом применялась тактика скрытого фишинга, при этом злоумышленники отдавали предпочтение вложениям электронной почты, для распаковки которых требовались специальные инструменты. Такой подход препятствовал доступу с мобильных устройств, поскольку вредоносное ПО было разработано для работы в среде Windows. Кампания под названием "AppleSeed", ранее ассоциировавшаяся с Kimsuky, постоянно нацелена на такие отрасли, как оборона, вооруженные силы и производители вакцин.

Ключевым компонентом вредоносной программы является расширение файла JSE, в котором содержится замаскированный файл JScript, выполняемый под управлением Microsoft Windows Script Host. При запуске эти файлы создают ложный документ и одновременно генерируют вредоносный DLL-файл, который выполняет реальные вредоносные действия. Библиотека DLL, защищенная VMProtect для предотвращения обратного проектирования, выполняет различные вредоносные функции, включая автоматическую загрузку самой себя при запуске системы с помощью манипуляций с реестром. Он взаимодействует с сервером управления (C2) с помощью структурированных HTTP-запросов, обеспечивая непрерывное выполнение команд и фильтрацию данных.

Тактика Kimsuky демонстрирует скоординированное использование нескольких платформ для целенаправленных атак и эволюцию их методов, о чем свидетельствуют последовательные схемы использования вредоносных скриптов в различных инцидентах. Активные усилия Genians по выявлению и мониторингу, использующие технологию EDR и машинное обучение, подчеркивают постоянные риски, связанные с такими активными кампаниями. В целом, подход Kimsuky является примером сочетания социальной инженерии, изощренного вредоносного ПО и интеграции стратегической платформы, направленной на проникновение в определенные группы, что подчеркивает важность передовых мер по обнаружению угроз для снижения этих рисков.

#ParsedReport #CompletenessHigh
09-06-2025

Follow the Smoke \| China-nexus Threat Actors Hammer At the Doors of Top Tier Targets

https://www.sentinelone.com/labs/follow-the-smoke-china-nexus-threat-actors-hammer-at-the-doors-of-top-tier-targets/

Report completeness: High

Actors/Campaigns:
Purplehaze (motivation: cyber_espionage)
Playful_taurus (motivation: cyber_espionage)
Unc5174 (motivation: cyber_espionage)
Winnti
Mysterious_elephant

Threats:
Smokeloader
Shadowpad
Scatterbrain_tool
Nailaolocker
Goreshell
Goreverse
Nimbo-c2
Dll_hijacking_technique
Garble_tool
Timestomp_technique

Victims:
Sentinelone, It services and logistics company, South asian government entity, European media organization, Over 70 organizations

Industry:
Logistic, Government, Telco, Financial

Geo:
Asian, Chinese, Asia, Middle east, Iran, French, China

CVEs:
CVE-2024-8963 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint manager cloud services appliance (4.6)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip access policy manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2024-8190 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti cloud services appliance (4.6)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1033, T1036.005, T1059.001, T1070.001, T1070.006, T1071.001, T1078, T1105, have more...

IOCs:
File: 11
Path: 4
Url: 1
Domain: 13
IP: 8
Coin: 1
Hash: 13

Soft:
ORB networks, ORB network, curl, Windows service, OPENSSH, Linux, Windows Telephony Server, sudo, Ivanti

Algorithms:
base64, sha1, exhibit

Win Services:
VGAuthService

Languages:
php, powershell

Links:
https://github.com/burrowers/garble
https://github.com/NHAS/reverse\_ssh
have more...
https://github.com/itaymigdal/Nimbo-C2

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайские хакеры из кластеров PurpleHaze и ShadowPad осуществляли кибератаки, используя вредоносное ПО ShadowPad с передовыми методами обфускации и нацеливаясь на различные сектора и организации. Они воспользовались уязвимостями (CVE-2024-8963, CVE-2024-8190), используя такие инструменты, как AppSov.exe и GOREshell, для утечки данных и обхода C2, что указывает на сложную оперативную тактику.
-----

Во второй половине 2024 года и в начале 2025 года SentinelLabs сообщала о многочисленных совместных хакерских действиях, приписываемых китайским хакерам в кластерах PurpleHaze и ShadowPad. Эти действия включали в себя разведку и попытки проникновения в организации, в том числе в SentinelOne и фирму, предоставляющую ИТ-услуги, отвечающую за материально-техническое обеспечение сотрудников SentinelOne. Примечательно, что злоумышленникам не удалось взломать системы SentinelOne.

Вредоносная программа ShadowPad, модульный бэкдор, который часто ассоциируется с китайским кибершпионажем, была использована при атаках на правительственное учреждение Южной Азии в июне 2024 года. Вредоносная программа использовала метод обфускации, известный как ScatterBrain, и артефакты выявили более широкую кампанию, нацеленную на широкий спектр секторов, затронувшую более 70 организаций по всему миру в период с июля 2024 по март 2025 года. Считается, что первоначальный вектор доступа для этих вторжений связан с использованием сетевых устройств, таких как шлюзы Check Point.

В исследовании также освещаются методы, тактики и процедуры (TTP), используемые злоумышленниками. Например, вредоносное программное обеспечение AppSov.exe было запущено с помощью команды PowerShell, которая включала загрузку и запуск полезной нагрузки с последующей перезагрузкой системы. После заражения он удалил конфиденциальные данные из скомпрометированных систем и использовал DNS через HTTPS, чтобы скрыть свои коммуникации командования и контроля (C2), что свидетельствует о сложном уровне уклонения.

Дополнительные инциденты включали развертывание бэкдоров GOREshell, которые были установлены с использованием методов перехвата библиотек DLL в законных службах, что позволяло выполнять команды удаленно. Каждый шаг в последовательности атаки указывал на тщательный подход к обфускации и удалению доказательств, например, использование манипуляций с метками времени для вредоносных исполняемых файлов и развертывание средств удаления журналов.

Данные разведки также свидетельствуют о том, что число атак на поставщиков услуг кибербезопасности растет, и китайские хакеры сосредоточивают свои усилия на компаниях, которые управляют критически важной инфраструктурой безопасности. Используемые уязвимости, в частности CVE-2024-8963 и CVE-2024-8190, были использованы для получения доступа до публичного раскрытия, что подчеркивает своевременность и серьезность таких угроз.

С помощью этого анализа SentinelLabs стремится повысить осведомленность об уязвимостях, с которыми сталкиваются компании, занимающиеся кибербезопасностью, и выступает за улучшение сотрудничества в отрасли и повышение прозрачности. По мере развития хакерских атак сохраняется значительная потребность в постоянной бдительности и обмене разведывательной информацией, чтобы лучше снизить будущие риски, связанные с постоянными противниками со стороны национальных государств.

#ParsedReport #CompletenessHigh
09-06-2025

Sleep with one eye open: how Librarian Ghouls steal data by night

https://securelist.com/librarian-ghouls-apt-wakes-up-computers-to-steal-data-and-mine-crypto/116536/

Report completeness: High

Actors/Campaigns:
Librarian_ghouls (motivation: hacktivism, information_theft)
Sticky_werewolf

Threats:
Xmrig_miner
Anydesk_tool
Defendercontrol_tool
Mipko_tool
Passview_tool
Ngrok_tool
Nircmd_tool
Spear-phishing_technique

Victims:
Russian companies, Industrial enterprises, Engineering schools, Russian users, Users in belarus, Users in kazakhstan

Geo:
Russian, Belarus, Russia, Kazakhstan

TTPs:

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.001, T1059.003, T1070.004, T1071.001, T1078.004, T1086, T1090.001, T1105, have more...

IOCs:
File: 21
Domain: 25
Path: 1
Registry: 2
Url: 2
IP: 1
Hash: 32

Soft:
curl, Windows Defender, Task Scheduler, Microsoft Edge

Crypto:
bitcoin, ethereum

Algorithms:
exhibit

Functions:
TaskSettings, TaskName

Languages:
php, powershell

Platforms:
x86, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Librarian Ghouls, группа APT, действовавшая до мая 2025 года, нацелена на российские организации, использующие фишинговые электронные письма для развертывания сценариев PowerShell и командных файлов. Их тактика включает удаленный доступ, кражу учетных данных и использование законного программного обеспечения во вредоносных целях, демонстрируя адаптивность и постоянное совершенствование своей деятельности.
-----

Librarian Ghouls, также известные как Rare Werewolf или Rezet, - это группа APT, которая нацелена на организации в России и странах СНГ. Действуя до мая 2025 года, эта группа проявляла постоянную активность против российских компаний, используя в своих атаках законное стороннее программное обеспечение вместо разработки пользовательских вредоносных программ. Стратегия атаки включает в себя развертывание командных файлов и сценариев PowerShell для достижения различных вредоносных целей, таких как установление удаленного доступа, кража учетных данных и установка криптомайнера XMRig.

Злоумышленники в первую очередь используют фишинговые электронные письма в качестве источника заражения, которые обычно содержат архивы, защищенные паролем. Эти архивы маскируют вредоносные исполняемые файлы под официальные документы. Когда жертвы извлекают и запускают эти файлы, они инициируют ряд шагов, которые устанавливают удаленную связь с серверами командования и контроля (C2) злоумышленников.

Одна из наблюдаемых тактик предполагает использование самораспаковывающегося установщика, созданного с помощью Smart Install Maker. Установщик запускает командный файл, который загружает с сервера C2 несколько вредоносных утилит, включая модифицированную версию WinRAR для выполнения команд без подсказок пользователя, Blat для отправки украденных данных по электронной почте, AnyDesk для удаленного доступа и Defender Control для отключения защитника Windows. После установки злоумышленники устанавливают пароль для AnyDesk, чтобы обеспечить неконтролируемый удаленный доступ. Скрипты запускают запланированную задачу, которая ежедневно открывает Microsoft Edge, предоставляя злоумышленникам возможность использовать систему в своих целях.

Дополнительные инструменты в арсенале злоумышленника включают систему предотвращения потери данных (DLP) для мониторинга и ведения кейлоггинга, утилиту для восстановления пароля для извлечения сохраненных в браузере учетных данных и ngrok для туннелирования на целевые компьютеры, что свидетельствует о предпочтении группы использовать законное программное обеспечение для вредоносных целей.

Со временем группа продемонстрировала гибкость в своей тактике, часто обновляя конфигурации вредоносных программ и пакеты утилит с конца 2024 года. Их фишинговые кампании специально разработаны на русском языке и нацелены как на русскоязычных пользователей, так и на организации, чтобы облегчить сбор учетных данных и эксфильтрацию.

Инфраструктура, поддерживающая библиотечных гулей, включает домены, связанные с их кампаниями, такие как downdown.ru и dragonfires.ru, которые продемонстрировали активные функции управления. Постоянное совершенствование и выполнение сложных операций этой APT group свидетельствует об их стремлении поставить под угрозу промышленные предприятия и образовательные учреждения по всей России, Беларуси и Казахстану. Постоянный и эволюционирующий характер их атак требует тщательного мониторинга и анализа, поскольку они демонстрируют черты, обычно присущие группам хактивистов, но при этом сохраняют четкую оперативную направленность на шпионаж и финансовую выгоду.

#ParsedReport #CompletenessMedium
09-06-2025

From Ideology to Financial Gain: Exploring the Convergence from Hacktivism to Cybercrime

https://www.rapid7.com/blog/post/2025/06/03/from-ideology-to-financial-gain-exploring-the-convergence-from-hacktivism-to-cybercrime/

Report completeness: Medium

Actors/Campaigns:
Killsec (motivation: cyber_criminal, financially_motivated, politically_motivated, hacktivism)
Ghostsec (motivation: cyber_criminal, financially_motivated, politically_motivated, hacktivism)
Funksec (motivation: cyber_criminal, financially_motivated, politically_motivated, hacktivism)
Ghost_algeria (motivation: hacktivism)
Cyb3r_fl00d (motivation: hacktivism)
Scorpion
El_farado
Blako
Bjorka
Opisis (motivation: hacktivism)
Opparis (motivation: hacktivism)
Oplebanon
Opnigeria
Opmyanmar
Opecuador
Opcolombia
Stormous
Threatsec
Blackforums
Siegedsec
Cybervolk
Ikaruz_red_team (motivation: hacktivism)

Threats:
Funklocker
Killsec
Ghostlocker
Ghoststealer
Lockbit
Clop

Industry:
Financial, Retail, Foodtech, Education, Energy, Transport, Telco, Government

Geo:
Israel, Russia, Bangladesh, Indonesian, Brazil, Germany, Algeria, France, Brazilian, Italy, Australia, Palestine, India, Usa, Poland, Romania

ChatGPT TTPs:
do not use without manual check
T1059, T1071, T1485, T1486, T1491, T1499, T1566, T1567, T1587, T1588, have more...

IOCs:
Domain: 3
Url: 4
Hash: 5
IP: 3

Soft:
ESXi, Telegram, instagram, twitter

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группы хактивистов объединяются с финансово мотивированными киберпреступниками, занимаясь вымогательством. FunkSec, KillSec и GhostSec переключили внимание на модели RaaS, используя тактику двойного вымогательства и настраиваемые решения, расширяя свои методы атак и повышая прибыльность.
-----

К концу 2024 года FunkSec перешла от хактивистской группы к программе-вымогателю как услуге (RaaS). Группа заявляет о по меньшей мере 172 жертвах по всему миру, включая правительственный сектор и сектор образования. Программа-вымогатель FunkSec, FunkLocker, использует генеративный искусственный интеллект для быстрого поиска жертв. Изначально занимаясь DDoS-атаками и взломом, FunkSec теперь предлагает своим партнерам настраиваемые решения для борьбы с программами-вымогателями. KillSec, работающая с 2021 года, перешла от методов DDoS-атак к программам-вымогателям, запустив модель RaaS в июне 2024 года. KillSec использует тактику двойного вымогательства, извлекая данные жертв наряду с шифрованием. GhostSec прошла путь от хактивизма к партнерству с киберпреступными организациями, включая сотрудничество с группой вымогателей Stormous для скоординированного вымогательства у государственных органов Кубы. GhostSec запустила собственное предложение RaaS, GhostLocker, с панелью управления для аффилированных лиц. Совпадение мотиваций у FunkSec, KillSec и GhostSec указывает на более широкую тенденцию к тому, что хактивисты стремятся к финансовой выгоде с помощью моделей RaaS и сложных тактик вымогательства.