#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайские хакеры из кластеров PurpleHaze и ShadowPad осуществляли кибератаки, используя вредоносное ПО ShadowPad с передовыми методами обфускации и нацеливаясь на различные сектора и организации. Они воспользовались уязвимостями (CVE-2024-8963, CVE-2024-8190), используя такие инструменты, как AppSov.exe и GOREshell, для утечки данных и обхода C2, что указывает на сложную оперативную тактику.
-----

Во второй половине 2024 года и в начале 2025 года SentinelLabs сообщала о многочисленных совместных хакерских действиях, приписываемых китайским хакерам в кластерах PurpleHaze и ShadowPad. Эти действия включали в себя разведку и попытки проникновения в организации, в том числе в SentinelOne и фирму, предоставляющую ИТ-услуги, отвечающую за материально-техническое обеспечение сотрудников SentinelOne. Примечательно, что злоумышленникам не удалось взломать системы SentinelOne.

Вредоносная программа ShadowPad, модульный бэкдор, который часто ассоциируется с китайским кибершпионажем, была использована при атаках на правительственное учреждение Южной Азии в июне 2024 года. Вредоносная программа использовала метод обфускации, известный как ScatterBrain, и артефакты выявили более широкую кампанию, нацеленную на широкий спектр секторов, затронувшую более 70 организаций по всему миру в период с июля 2024 по март 2025 года. Считается, что первоначальный вектор доступа для этих вторжений связан с использованием сетевых устройств, таких как шлюзы Check Point.

В исследовании также освещаются методы, тактики и процедуры (TTP), используемые злоумышленниками. Например, вредоносное программное обеспечение AppSov.exe было запущено с помощью команды PowerShell, которая включала загрузку и запуск полезной нагрузки с последующей перезагрузкой системы. После заражения он удалил конфиденциальные данные из скомпрометированных систем и использовал DNS через HTTPS, чтобы скрыть свои коммуникации командования и контроля (C2), что свидетельствует о сложном уровне уклонения.

Дополнительные инциденты включали развертывание бэкдоров GOREshell, которые были установлены с использованием методов перехвата библиотек DLL в законных службах, что позволяло выполнять команды удаленно. Каждый шаг в последовательности атаки указывал на тщательный подход к обфускации и удалению доказательств, например, использование манипуляций с метками времени для вредоносных исполняемых файлов и развертывание средств удаления журналов.

Данные разведки также свидетельствуют о том, что число атак на поставщиков услуг кибербезопасности растет, и китайские хакеры сосредоточивают свои усилия на компаниях, которые управляют критически важной инфраструктурой безопасности. Используемые уязвимости, в частности CVE-2024-8963 и CVE-2024-8190, были использованы для получения доступа до публичного раскрытия, что подчеркивает своевременность и серьезность таких угроз.

С помощью этого анализа SentinelLabs стремится повысить осведомленность об уязвимостях, с которыми сталкиваются компании, занимающиеся кибербезопасностью, и выступает за улучшение сотрудничества в отрасли и повышение прозрачности. По мере развития хакерских атак сохраняется значительная потребность в постоянной бдительности и обмене разведывательной информацией, чтобы лучше снизить будущие риски, связанные с постоянными противниками со стороны национальных государств.

#ParsedReport #CompletenessHigh
09-06-2025

Sleep with one eye open: how Librarian Ghouls steal data by night

https://securelist.com/librarian-ghouls-apt-wakes-up-computers-to-steal-data-and-mine-crypto/116536/

Report completeness: High

Actors/Campaigns:
Librarian_ghouls (motivation: hacktivism, information_theft)
Sticky_werewolf

Threats:
Xmrig_miner
Anydesk_tool
Defendercontrol_tool
Mipko_tool
Passview_tool
Ngrok_tool
Nircmd_tool
Spear-phishing_technique

Victims:
Russian companies, Industrial enterprises, Engineering schools, Russian users, Users in belarus, Users in kazakhstan

Geo:
Russian, Belarus, Russia, Kazakhstan

TTPs:

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.001, T1059.003, T1070.004, T1071.001, T1078.004, T1086, T1090.001, T1105, have more...

IOCs:
File: 21
Domain: 25
Path: 1
Registry: 2
Url: 2
IP: 1
Hash: 32

Soft:
curl, Windows Defender, Task Scheduler, Microsoft Edge

Crypto:
bitcoin, ethereum

Algorithms:
exhibit

Functions:
TaskSettings, TaskName

Languages:
php, powershell

Platforms:
x86, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Librarian Ghouls, группа APT, действовавшая до мая 2025 года, нацелена на российские организации, использующие фишинговые электронные письма для развертывания сценариев PowerShell и командных файлов. Их тактика включает удаленный доступ, кражу учетных данных и использование законного программного обеспечения во вредоносных целях, демонстрируя адаптивность и постоянное совершенствование своей деятельности.
-----

Librarian Ghouls, также известные как Rare Werewolf или Rezet, - это группа APT, которая нацелена на организации в России и странах СНГ. Действуя до мая 2025 года, эта группа проявляла постоянную активность против российских компаний, используя в своих атаках законное стороннее программное обеспечение вместо разработки пользовательских вредоносных программ. Стратегия атаки включает в себя развертывание командных файлов и сценариев PowerShell для достижения различных вредоносных целей, таких как установление удаленного доступа, кража учетных данных и установка криптомайнера XMRig.

Злоумышленники в первую очередь используют фишинговые электронные письма в качестве источника заражения, которые обычно содержат архивы, защищенные паролем. Эти архивы маскируют вредоносные исполняемые файлы под официальные документы. Когда жертвы извлекают и запускают эти файлы, они инициируют ряд шагов, которые устанавливают удаленную связь с серверами командования и контроля (C2) злоумышленников.

Одна из наблюдаемых тактик предполагает использование самораспаковывающегося установщика, созданного с помощью Smart Install Maker. Установщик запускает командный файл, который загружает с сервера C2 несколько вредоносных утилит, включая модифицированную версию WinRAR для выполнения команд без подсказок пользователя, Blat для отправки украденных данных по электронной почте, AnyDesk для удаленного доступа и Defender Control для отключения защитника Windows. После установки злоумышленники устанавливают пароль для AnyDesk, чтобы обеспечить неконтролируемый удаленный доступ. Скрипты запускают запланированную задачу, которая ежедневно открывает Microsoft Edge, предоставляя злоумышленникам возможность использовать систему в своих целях.

Дополнительные инструменты в арсенале злоумышленника включают систему предотвращения потери данных (DLP) для мониторинга и ведения кейлоггинга, утилиту для восстановления пароля для извлечения сохраненных в браузере учетных данных и ngrok для туннелирования на целевые компьютеры, что свидетельствует о предпочтении группы использовать законное программное обеспечение для вредоносных целей.

Со временем группа продемонстрировала гибкость в своей тактике, часто обновляя конфигурации вредоносных программ и пакеты утилит с конца 2024 года. Их фишинговые кампании специально разработаны на русском языке и нацелены как на русскоязычных пользователей, так и на организации, чтобы облегчить сбор учетных данных и эксфильтрацию.

Инфраструктура, поддерживающая библиотечных гулей, включает домены, связанные с их кампаниями, такие как downdown.ru и dragonfires.ru, которые продемонстрировали активные функции управления. Постоянное совершенствование и выполнение сложных операций этой APT group свидетельствует об их стремлении поставить под угрозу промышленные предприятия и образовательные учреждения по всей России, Беларуси и Казахстану. Постоянный и эволюционирующий характер их атак требует тщательного мониторинга и анализа, поскольку они демонстрируют черты, обычно присущие группам хактивистов, но при этом сохраняют четкую оперативную направленность на шпионаж и финансовую выгоду.

#ParsedReport #CompletenessMedium
09-06-2025

From Ideology to Financial Gain: Exploring the Convergence from Hacktivism to Cybercrime

https://www.rapid7.com/blog/post/2025/06/03/from-ideology-to-financial-gain-exploring-the-convergence-from-hacktivism-to-cybercrime/

Report completeness: Medium

Actors/Campaigns:
Killsec (motivation: cyber_criminal, financially_motivated, politically_motivated, hacktivism)
Ghostsec (motivation: cyber_criminal, financially_motivated, politically_motivated, hacktivism)
Funksec (motivation: cyber_criminal, financially_motivated, politically_motivated, hacktivism)
Ghost_algeria (motivation: hacktivism)
Cyb3r_fl00d (motivation: hacktivism)
Scorpion
El_farado
Blako
Bjorka
Opisis (motivation: hacktivism)
Opparis (motivation: hacktivism)
Oplebanon
Opnigeria
Opmyanmar
Opecuador
Opcolombia
Stormous
Threatsec
Blackforums
Siegedsec
Cybervolk
Ikaruz_red_team (motivation: hacktivism)

Threats:
Funklocker
Killsec
Ghostlocker
Ghoststealer
Lockbit
Clop

Industry:
Financial, Retail, Foodtech, Education, Energy, Transport, Telco, Government

Geo:
Israel, Russia, Bangladesh, Indonesian, Brazil, Germany, Algeria, France, Brazilian, Italy, Australia, Palestine, India, Usa, Poland, Romania

ChatGPT TTPs:
do not use without manual check
T1059, T1071, T1485, T1486, T1491, T1499, T1566, T1567, T1587, T1588, have more...

IOCs:
Domain: 3
Url: 4
Hash: 5
IP: 3

Soft:
ESXi, Telegram, instagram, twitter

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группы хактивистов объединяются с финансово мотивированными киберпреступниками, занимаясь вымогательством. FunkSec, KillSec и GhostSec переключили внимание на модели RaaS, используя тактику двойного вымогательства и настраиваемые решения, расширяя свои методы атак и повышая прибыльность.
-----

К концу 2024 года FunkSec перешла от хактивистской группы к программе-вымогателю как услуге (RaaS). Группа заявляет о по меньшей мере 172 жертвах по всему миру, включая правительственный сектор и сектор образования. Программа-вымогатель FunkSec, FunkLocker, использует генеративный искусственный интеллект для быстрого поиска жертв. Изначально занимаясь DDoS-атаками и взломом, FunkSec теперь предлагает своим партнерам настраиваемые решения для борьбы с программами-вымогателями. KillSec, работающая с 2021 года, перешла от методов DDoS-атак к программам-вымогателям, запустив модель RaaS в июне 2024 года. KillSec использует тактику двойного вымогательства, извлекая данные жертв наряду с шифрованием. GhostSec прошла путь от хактивизма к партнерству с киберпреступными организациями, включая сотрудничество с группой вымогателей Stormous для скоординированного вымогательства у государственных органов Кубы. GhostSec запустила собственное предложение RaaS, GhostLocker, с панелью управления для аффилированных лиц. Совпадение мотиваций у FunkSec, KillSec и GhostSec указывает на более широкую тенденцию к тому, что хактивисты стремятся к финансовой выгоде с помощью моделей RaaS и сложных тактик вымогательства.

#ParsedReport #CompletenessHigh
10-06-2025

CVE-2025-33053, Stealth Falcon and Horus: A Saga of Middle Eastern Cyber Espionage

https://research.checkpoint.com/2025/stealth-falcon-zero-day/

Report completeness: High

Actors/Campaigns:
Stealth_falcon (motivation: cyber_espionage)

Threats:
Horus_loader
Horus_agent
Mythic_c2
Apollo
Lolbin_technique
Spear-phishing_technique
Dll_hijacking_technique
Code_virtualizer_tool
Themida_tool
Ollvm_tool
Process_injection_technique
Confuserex_tool

Victims:
Defense company, Government, High-profile entity

Industry:
Government

Geo:
Middle east, Yemen, Turkish, Egypt, Turkey, Egyptian, Qatar, Africa

CVEs:
CVE-2025-33053 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1003.006, T1016, T1021.002, T1027, T1027.002, T1027.003, T1027.009, T1033, T1036, have more...

IOCs:
File: 45
Hash: 27
Domain: 11
Command: 3
Path: 4

Soft:
Internet Explorer, Active Directory, Windows service

Wallets:
harmony_wallet

Algorithms:
xor, gzip, base64, aes, hmac, rc4, zip

Win API:
RtlIpv6StringToAddressA, ZwAllocateVirtualMemory, ZwWriteVirtualMemory, NtProtectVirtualMemory, GetThreadContext, SetThreadContext, NtResumeThread, CloseHandle, GetSystemPowerStatus, StartServiceCtrlDispatcherA, have more...

Platforms:
x86, amd64

Links:
https://github.com/DiscUtils/DiscUtils
have more...
https://github.com/hasherezade/tiny\_tracer
https://github.com/MythicC2Profiles/httpx

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Stealth Falcon, группа APT, использовала уязвимость нулевого дня CVE-2025-33053 для удаленного выполнения кода с помощью spear-фишинга. В ходе атаки использовался многоступенчатый загрузчик, который ускользал от обнаружения с помощью обфускации, предоставляя бэкдор Horus Agent, который использовал передовые методы обхода для связи с сервером C2, оставаясь при этом необнаруженным.
-----

Исследовательская компания Check Point Research (CPR) сообщила о новой киберкампании, проводимой APT-группой Stealth Falcon, использующей уязвимость нулевого дня CVE-2025-33053, которая позволяет удаленно выполнять код с помощью манипуляций с рабочим каталогом. В ходе атаки, нацеленной в первую очередь на правительственный и оборонный секторы на Ближнем Востоке и в Африке, использовался URL-файл, отправленный по электронной почте с помощью фишинга, для запуска вредоносного загрузчика с сервера WebDAV, контролируемого злоумышленниками.

Загрузчик выполняется с помощью законного средства Windows. После активации он функционирует как многоэтапный загрузчик, предназначенный для маскировки своих действий с помощью Code Virtualizer. Такая практика значительно усложняет обратное проектирование при проведении различных проверок безопасности системы, чтобы избежать обнаружения средствами безопасности. Кроме того, он обладает уникальными характеристиками, такими как ручное сопоставление системных библиотек Windows и сканирование на наличие антивирусных процессов. Полезная нагрузка, получаемая с помощью этого метода, включает в себя Horus Agent, специальный имплантат, разработанный для платформы Mythic Command and Control (C2), и другие нераскрытые модули, такие как клавиатурные шпионы, пассивные бэкдоры и устройства для сброса учетных данных.

Агент Horus работает как бэкдор, используя для защиты своего кода передовые технологии, такие как шифрование строк и сглаживание потока управления. Он специально использует хеширование API и динамическое преобразование функций, чтобы скрыть свои функциональные возможности от статического анализа. Бэкдор поддерживает связь с сервером C2 с помощью зашифрованных сообщений, которые предназначены для поддержания целостности с помощью контрольных сумм HMAC-SHA256. Во время командного цикла агент может собирать информацию о пользователях, процессах и сетевых конфигурациях, а также выполнять шелл-код с помощью сложного пользовательского метода внедрения.

Операции Stealth Falcon продемонстрировали свою непрерывную эволюцию, включив в себя такие элементы, как многоступенчатые загрузчики и использование LOLBins (бинарных систем, работающих вне земли) для усложнения обнаружения. Злоумышленники используют методы обфускации и покупку законных устаревших доменов для улучшения своих стратегий заражения, что еще больше усложняет их инфраструктуру и затрудняет установление авторства. Недавнее использование CVE-2025-33053 является примером стратегического использования уязвимостей нулевого дня для закрепления в целевых сетях и обеспечения того, чтобы их инструменты оставались незамеченными в защищенных средах. В целом, методы группы и техническая изощренность ее полезной нагрузки отражают ее давнюю ориентацию на кибершпионаж и способность адаптироваться к контрмерам.

#ParsedReport #CompletenessLow
10-06-2025

Luckystrike Agent: Poker bleached from Erudite Mogwaii

https://rt-solar.ru/solar-4rays/blog/5603/

Report completeness: Low

Actors/Campaigns:
Webworm

Threats:
Costura_tool
Shadowpad

Victims:
Russian state organization, It companies

Geo:
Chinese, Russian, Asian

TTPs:

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1074.002, T1140, T1574.014

IOCs:
File: 22
Coin: 1
Path: 1
Hash: 11

Algorithms:
md5, pbkdf2, base64, sha256, aes, cbc, xor, aes-256-cbc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Агент Luckystrike, используемый APT group Erudite Mogwai, нацелен на российскую ИТ-инфраструктуру с помощью внедрения Appdomain Manager с использованием OneDrive для C2. Особенности включают модульную архитектуру, использование законных файлов Windows для внедрения и уникальную систему идентификации агента для скрытности. Он собирает и шифрует конфиденциальную системную информацию, что отражает переход APTs к решениям для защиты от вредоносных программ профессионального уровня.
-----

Агент Luckystrike, используемый компанией APT group Erudite Mogwai, нацелен на ИТ-инфраструктуру в России, используя технологию внедрения Appdomain Manager для выполнения различных команд. Примечательно, что он использует OneDrive в качестве канала управления (C2), что указывает на потенциал использования и других облачных сервисов. Структура и информация об отладке указывают на то, что Luckystrike является коммерческим продуктом; он обладает модульной архитектурой и имеет признаки "платной версии", что следует из строк отладки, найденных в PDB-файле.

Агент работает с использованием нескольких специальных файлов, включая "Luckystrike.dll", который служит загрузчиком для запуска основной полезной нагрузки, а также ключей шифрования и конфигураций, встроенных в "log.cache" и "NETFXSBS9.HKF". Кроме того, он использует "Uevappmonitor.exe ," законный файл Windows, чтобы облегчить загрузка его вредоносна .СЕТЕВАЯ сборка. Вредоносное ПО разработано с использованием технологии внедрения в диспетчере доменов приложений (T1574.014), позволяющей внедрять вредоносный код в область памяти законных приложений, при этом Uevappmonitor.exe выбран в качестве цели внедрения.

Конфигурационный файл вредоносной программы, "Uevappmonitor.config", содержит параметры для загрузки вредоносной полезной нагрузки. Важной особенностью вредоносной программы является использование уникальной системы идентификации агента, которая позволяет нескольким экземплярам бэкдора запускаться одновременно на одном компьютере, повышая его скрытность. Он собирает различную системную информацию, включая учетные данные пользователя, сведения о процессе и данные операционной системы, которые сериализуются и шифруются для последующей фильтрации.

Его дизайн предполагает сложную взаимосвязь с экосистемой киберпреступников, что позволяет отказаться от типичных инструментов с открытым исходным кодом, которые часто адаптируются APT groups. Вместо этого он ориентирован на избранную клиентскую базу, что подтверждается его структурированной разработкой, возможным коммерческим происхождением и четкими признаками статуса собственности. Благодаря этим характеристикам, Luckystrike Agent является примером угрозы профессионального уровня, что потенциально указывает на дальнейшую эволюцию рынка вредоносного программного обеспечения, способствующую внедрению APTS. Этот многогранный подход демонстрирует растущую сложность хакерских атак и адаптивные стратегии, используемые хакерами.

#ParsedReport #CompletenessMedium
10-06-2025

APT 41: Threat Intelligence Report and Malware Analysis

https://www.resecurity.com/blog/article/apt-41-threat-intelligence-report-and-malware-analysis

Report completeness: Medium

Actors/Campaigns:
Winnti (motivation: financially_motivated, cyber_espionage)

Threats:
Plusdrop
Plusinject
Toughprogress
Spear-phishing_technique
Process_injection_technique
Process_hollowing_technique
Supply_chain_technique

Industry:
Government, Telco, Healthcare

Geo:
Taiwan, China, Chinese

TTPs:
Tactics: 8
Technics: 18

IOCs:
File: 7
Domain: 6

Soft:
Windows Service, trycloudflare

Algorithms:
zip, xor

Functions:
GetModuleHandle

Win API:
LoadLibrary, VirtualAlloc

Win Services:
bits

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская государственная группа APT41 использует шпионскую и финансовую тактику, используя вредоносное ПО, подобное ToughProgress. Это вредоносное ПО использует Google Calendar для управления, имеет модули для скрытого выполнения и взлома процессов, а также нацелено на компоненты ОС Windows для повышения привилегий.
-----

APT41, также известный как BARIUM, Wicked Panda и Brass Typhoon, является китайским хакером, спонсируемым государством, который занимается как шпионажем, так и кибератаками на финансовой основе. Компания APT41, ориентированная на такие отрасли, как здравоохранение, телекоммуникации, программное обеспечение и государственные учреждения по всему миру, известна тем, что объединяет традиционные методы кибершпионажа с криминальной тактикой, используя пользовательские вредоносные программы и программы-вымогатели. Группа, действующая как минимум с 2012 года, недавно была замечена в использовании Google Calendar в качестве механизма управления (C2) в своей деятельности, что было особо отмечено в кампании, направленной на веб-сайт правительства Тайваня.

Кампания использовала фишинговые электронные письма, чтобы заманить жертв к ZIP-архиву, размещенному на взломанном сайте, который содержал файл ярлыка Windows, замаскированный под PDF, а также несколько изображений, два из которых были помечены как "6.jpg " и"7.jpg ," на самом деле были частью полезной нагрузки вредоносного ПО. После запуска структура вредоносной программы под названием ToughProgress раскрывалась в виде трех отдельных модулей: PLUSDROP, PLUSINJECT и TOUGHPROGRESS. PLUSDROP отвечает за расшифровку "6.jpg" и выполнение ее с помощью Rundll32.exe. PLUSINJECT использует методы взлома процессов, чтобы внедрить вредоносное ПО в легитимный процесс svchost.exe, тем самым избегая обнаружения.

Основная вредоносная программа, ToughProgress, запускается скрытно, загружая свой путь в память, считывая его закодированное содержимое в буфер и применяя процедуру расшифровки на основе исключения, прежде чем запустить расшифрованный код непосредственно из памяти. Этот метод выполнения позволяет ToughProgress работать, не сохраняя свою полезную информацию в формате, доступном на диске. Кроме того, он позволяет вредоносному ПО незаметно внедрять расшифрованный код в действующие системные процессы, избегая распространенных предупреждений системы безопасности, связанных с несанкционированными исполняемыми строками.

ToughProgress систематически атакует критически важные компоненты операционной системы Windows, в том числе ntoskrnl.exe, с помощью продвинутых низкоуровневых операций, направленных на повышение привилегий и защиту от криминалистической экспертизы. Инновационный метод взаимодействия с Google Calendar предполагает создание и изменение событий календаря для обмена зашифрованными данными и командами со злоумышленниками. Этот процесс включает в себя встраивание отфильтрованных данных в описания событий календаря, которые вредоносная программа извлекает, расшифровывает, выполняет и записывает результаты обратно в новые события.

Для борьбы с этой угрозой Google внедрила механизмы обнаружения, предназначенные для выявления и удаления вредоносных программ, связанных с Google Calendar, и для отключения скомпрометированных проектов Workspace. Возможности и тактика APT41 делают его заметной и постоянной угрозой в сфере кибербезопасности, сочетающей передовые методы с криминальными целями в различных отраслях.

#ParsedReport #CompletenessMedium
10-06-2025

Understanding CYBEREYE RAT Builder: Capabilities and Implications

https://www.cyfirma.com/research/understanding-cybereye-rat-builder-capabilities-and-implications/

Report completeness: Medium

Threats:
Telegramrat
Credential_harvesting_technique
Uac_bypass_technique
File_melt_technique
Autostealer
Telegramgrabber
Discordgrabber
Grabdesktop

Industry:
Financial, Entertainment

Geo:
Russian

TTPs:
Tactics: 10
Technics: 14

IOCs:
Hash: 3
File: 23
Registry: 1
Path: 1

Soft:
Chromium, Telegram, Windows Defender, Discord, VirtualBox, Chrome, Gmail, Steam

Crypto:
bitcoin, ethereum, monero

Algorithms:
exhibit, zip, aes-gcm, md5

Functions:
runAntiAnalysis, GetModuleHandle, setAutorun, installSelf, DisableDefenderFeatures, CheckDefenderSettings, sendText

Win API:
AddClipboardFormatListener

Win Services:
WinDefend

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CyberEye, троянец для удаленного доступа на базе .NET, использует Telegram для связи C2, повышая скрытность и доступность. Он имеет настраиваемую полезную нагрузку для кражи данных, использует меры защиты от "песочницы", отключает защитник Windows и облегчает передачу данных через Telegram Bot API, что создает значительные риски для безопасности из-за простоты доступа и постоянного развития.
-----

CyberEye, также известный как TelegramRAT, представляет собой модульный троян удаленного доступа (RAT), созданный с помощью .NET, который специализируется на краже данных и слежке. Он использует Telegram в качестве платформы управления (C2), позволяя злоумышленникам избегать обслуживания собственной инфраструктуры, что повышает скрытность и доступность вредоносного ПО. Злоумышленники используют графический интерфейс разработчика для настройки полезной нагрузки, вводя учетные данные и выбирая различные функции, включая клавиатурные шпионы и средства захвата файлов, что обеспечивает простоту использования даже для тех, кто обладает ограниченными техническими навыками.

После запуска CyberEye инициализирует несколько процессов, направленных на то, чтобы избежать обнаружения, таких как скрытие интерфейса, выполнение проверок на защиту от "песочницы" и обеспечение сохраняемости. Он отключает защитник Windows с помощью PowerShell и редактирования реестра и использует механизм антианализа, который может завершиться сам по себе, если обнаружит выполнение в изолированной среде или виртуальной среде. Эта функциональность включает проверку характеристик, типичных для виртуальных машин, и обычных инструментов изолированной среды, что значительно усложняет попытки анализа безопасности аналитиками.

Стратегии сохранения данных CyberEye включают в себя развертывание в скрытом каталоге и создание запланированной задачи, которая запускается при входе пользователя в систему, маскируя свое присутствие под видом процесса обновления системы. Его возможности по удалению данных облегчаются с помощью Telegram Bot API, где он может отправлять украденную информацию, такую как системные данные и учетные данные пользователя, обратно злоумышленнику в режиме реального времени. Вредоносная программа оснащена модулями, способными извлекать конфиденциальную информацию из браузеров, игровых профилей и платформ обмена сообщениями, что еще больше улучшает ее тактику сбора данных.

Особую обеспокоенность вызывает простота доступа к CyberEye, о чем свидетельствует его публичное распространение через такие источники, как GitHub. Разработчики, связанные с вредоносным ПО, создали обширную документацию и каналы поддержки сообщества, что позволяет начинающим киберпреступникам эффективно внедрять его. Существование частного Telegram-канала предполагает постоянное развитие, которое, возможно, приведет к выпуску расширенных версий с дополнительной функциональностью.

#ParsedReport #CompletenessLow
10-06-2025

A comprehensive analysis of India's apt espionage activities against my country

https://mp.weixin.qq.com/s?__biz=MzkzNDIzNDUxOQ==&mid=2247499422&idx=2&sn=1313fc72a2c2122f08fba5179c78dd55

Report completeness: Low

Actors/Campaigns:
Bitter (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Grimresource_technique
Artradownloader
Wscspl
Bdarkrat
Muuymdownloader
Zxxz_loader
Almond_rat
Wmrat
Trurat
Orpcbackdoor
Miyarat
Kiwistealer
Kugelblitz
Havoc

Victims:
Government organizations, Diplomatic organizations, Defense organizations, Entities associated with china, Entities associated with pakistan, Entities in neighboring countries of the indian subcontinent

Industry:
Government

Geo:
Bangladesh, Pakistan, China, America, India, Indian, Madagascar

CVEs:
CVE-2024-43572 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20796)
- microsoft windows 10 1607 (<10.0.14393.7428)
- microsoft windows 10 1809 (<10.0.17763.6414)
- microsoft windows 10 21h2 (<10.0.19044.5011)
- microsoft windows 10 22h2 (<10.0.19045.5011)
have more...

ChatGPT TTPs:
do not use without manual check
T1027, T1053.005, T1059.001, T1059.003, T1071.001, T1203, T1566.001, T1566.002

IOCs:
Command: 3
Path: 1
File: 1
Domain: 1

Soft:
ProtonMail

Algorithms:
aes-256-cbc, base64, xor

Functions:
Get-Content

Languages:
powershell, php