#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Агент Luckystrike, используемый APT group Erudite Mogwai, нацелен на российскую ИТ-инфраструктуру с помощью внедрения Appdomain Manager с использованием OneDrive для C2. Особенности включают модульную архитектуру, использование законных файлов Windows для внедрения и уникальную систему идентификации агента для скрытности. Он собирает и шифрует конфиденциальную системную информацию, что отражает переход APTs к решениям для защиты от вредоносных программ профессионального уровня.
-----

Агент Luckystrike, используемый компанией APT group Erudite Mogwai, нацелен на ИТ-инфраструктуру в России, используя технологию внедрения Appdomain Manager для выполнения различных команд. Примечательно, что он использует OneDrive в качестве канала управления (C2), что указывает на потенциал использования и других облачных сервисов. Структура и информация об отладке указывают на то, что Luckystrike является коммерческим продуктом; он обладает модульной архитектурой и имеет признаки "платной версии", что следует из строк отладки, найденных в PDB-файле.

Агент работает с использованием нескольких специальных файлов, включая "Luckystrike.dll", который служит загрузчиком для запуска основной полезной нагрузки, а также ключей шифрования и конфигураций, встроенных в "log.cache" и "NETFXSBS9.HKF". Кроме того, он использует "Uevappmonitor.exe ," законный файл Windows, чтобы облегчить загрузка его вредоносна .СЕТЕВАЯ сборка. Вредоносное ПО разработано с использованием технологии внедрения в диспетчере доменов приложений (T1574.014), позволяющей внедрять вредоносный код в область памяти законных приложений, при этом Uevappmonitor.exe выбран в качестве цели внедрения.

Конфигурационный файл вредоносной программы, "Uevappmonitor.config", содержит параметры для загрузки вредоносной полезной нагрузки. Важной особенностью вредоносной программы является использование уникальной системы идентификации агента, которая позволяет нескольким экземплярам бэкдора запускаться одновременно на одном компьютере, повышая его скрытность. Он собирает различную системную информацию, включая учетные данные пользователя, сведения о процессе и данные операционной системы, которые сериализуются и шифруются для последующей фильтрации.

Его дизайн предполагает сложную взаимосвязь с экосистемой киберпреступников, что позволяет отказаться от типичных инструментов с открытым исходным кодом, которые часто адаптируются APT groups. Вместо этого он ориентирован на избранную клиентскую базу, что подтверждается его структурированной разработкой, возможным коммерческим происхождением и четкими признаками статуса собственности. Благодаря этим характеристикам, Luckystrike Agent является примером угрозы профессионального уровня, что потенциально указывает на дальнейшую эволюцию рынка вредоносного программного обеспечения, способствующую внедрению APTS. Этот многогранный подход демонстрирует растущую сложность хакерских атак и адаптивные стратегии, используемые хакерами.

#ParsedReport #CompletenessMedium
10-06-2025

APT 41: Threat Intelligence Report and Malware Analysis

https://www.resecurity.com/blog/article/apt-41-threat-intelligence-report-and-malware-analysis

Report completeness: Medium

Actors/Campaigns:
Winnti (motivation: financially_motivated, cyber_espionage)

Threats:
Plusdrop
Plusinject
Toughprogress
Spear-phishing_technique
Process_injection_technique
Process_hollowing_technique
Supply_chain_technique

Industry:
Government, Telco, Healthcare

Geo:
Taiwan, China, Chinese

TTPs:
Tactics: 8
Technics: 18

IOCs:
File: 7
Domain: 6

Soft:
Windows Service, trycloudflare

Algorithms:
zip, xor

Functions:
GetModuleHandle

Win API:
LoadLibrary, VirtualAlloc

Win Services:
bits

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская государственная группа APT41 использует шпионскую и финансовую тактику, используя вредоносное ПО, подобное ToughProgress. Это вредоносное ПО использует Google Calendar для управления, имеет модули для скрытого выполнения и взлома процессов, а также нацелено на компоненты ОС Windows для повышения привилегий.
-----

APT41, также известный как BARIUM, Wicked Panda и Brass Typhoon, является китайским хакером, спонсируемым государством, который занимается как шпионажем, так и кибератаками на финансовой основе. Компания APT41, ориентированная на такие отрасли, как здравоохранение, телекоммуникации, программное обеспечение и государственные учреждения по всему миру, известна тем, что объединяет традиционные методы кибершпионажа с криминальной тактикой, используя пользовательские вредоносные программы и программы-вымогатели. Группа, действующая как минимум с 2012 года, недавно была замечена в использовании Google Calendar в качестве механизма управления (C2) в своей деятельности, что было особо отмечено в кампании, направленной на веб-сайт правительства Тайваня.

Кампания использовала фишинговые электронные письма, чтобы заманить жертв к ZIP-архиву, размещенному на взломанном сайте, который содержал файл ярлыка Windows, замаскированный под PDF, а также несколько изображений, два из которых были помечены как "6.jpg " и"7.jpg ," на самом деле были частью полезной нагрузки вредоносного ПО. После запуска структура вредоносной программы под названием ToughProgress раскрывалась в виде трех отдельных модулей: PLUSDROP, PLUSINJECT и TOUGHPROGRESS. PLUSDROP отвечает за расшифровку "6.jpg" и выполнение ее с помощью Rundll32.exe. PLUSINJECT использует методы взлома процессов, чтобы внедрить вредоносное ПО в легитимный процесс svchost.exe, тем самым избегая обнаружения.

Основная вредоносная программа, ToughProgress, запускается скрытно, загружая свой путь в память, считывая его закодированное содержимое в буфер и применяя процедуру расшифровки на основе исключения, прежде чем запустить расшифрованный код непосредственно из памяти. Этот метод выполнения позволяет ToughProgress работать, не сохраняя свою полезную информацию в формате, доступном на диске. Кроме того, он позволяет вредоносному ПО незаметно внедрять расшифрованный код в действующие системные процессы, избегая распространенных предупреждений системы безопасности, связанных с несанкционированными исполняемыми строками.

ToughProgress систематически атакует критически важные компоненты операционной системы Windows, в том числе ntoskrnl.exe, с помощью продвинутых низкоуровневых операций, направленных на повышение привилегий и защиту от криминалистической экспертизы. Инновационный метод взаимодействия с Google Calendar предполагает создание и изменение событий календаря для обмена зашифрованными данными и командами со злоумышленниками. Этот процесс включает в себя встраивание отфильтрованных данных в описания событий календаря, которые вредоносная программа извлекает, расшифровывает, выполняет и записывает результаты обратно в новые события.

Для борьбы с этой угрозой Google внедрила механизмы обнаружения, предназначенные для выявления и удаления вредоносных программ, связанных с Google Calendar, и для отключения скомпрометированных проектов Workspace. Возможности и тактика APT41 делают его заметной и постоянной угрозой в сфере кибербезопасности, сочетающей передовые методы с криминальными целями в различных отраслях.

#ParsedReport #CompletenessMedium
10-06-2025

Understanding CYBEREYE RAT Builder: Capabilities and Implications

https://www.cyfirma.com/research/understanding-cybereye-rat-builder-capabilities-and-implications/

Report completeness: Medium

Threats:
Telegramrat
Credential_harvesting_technique
Uac_bypass_technique
File_melt_technique
Autostealer
Telegramgrabber
Discordgrabber
Grabdesktop

Industry:
Financial, Entertainment

Geo:
Russian

TTPs:
Tactics: 10
Technics: 14

IOCs:
Hash: 3
File: 23
Registry: 1
Path: 1

Soft:
Chromium, Telegram, Windows Defender, Discord, VirtualBox, Chrome, Gmail, Steam

Crypto:
bitcoin, ethereum, monero

Algorithms:
exhibit, zip, aes-gcm, md5

Functions:
runAntiAnalysis, GetModuleHandle, setAutorun, installSelf, DisableDefenderFeatures, CheckDefenderSettings, sendText

Win API:
AddClipboardFormatListener

Win Services:
WinDefend

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CyberEye, троянец для удаленного доступа на базе .NET, использует Telegram для связи C2, повышая скрытность и доступность. Он имеет настраиваемую полезную нагрузку для кражи данных, использует меры защиты от "песочницы", отключает защитник Windows и облегчает передачу данных через Telegram Bot API, что создает значительные риски для безопасности из-за простоты доступа и постоянного развития.
-----

CyberEye, также известный как TelegramRAT, представляет собой модульный троян удаленного доступа (RAT), созданный с помощью .NET, который специализируется на краже данных и слежке. Он использует Telegram в качестве платформы управления (C2), позволяя злоумышленникам избегать обслуживания собственной инфраструктуры, что повышает скрытность и доступность вредоносного ПО. Злоумышленники используют графический интерфейс разработчика для настройки полезной нагрузки, вводя учетные данные и выбирая различные функции, включая клавиатурные шпионы и средства захвата файлов, что обеспечивает простоту использования даже для тех, кто обладает ограниченными техническими навыками.

После запуска CyberEye инициализирует несколько процессов, направленных на то, чтобы избежать обнаружения, таких как скрытие интерфейса, выполнение проверок на защиту от "песочницы" и обеспечение сохраняемости. Он отключает защитник Windows с помощью PowerShell и редактирования реестра и использует механизм антианализа, который может завершиться сам по себе, если обнаружит выполнение в изолированной среде или виртуальной среде. Эта функциональность включает проверку характеристик, типичных для виртуальных машин, и обычных инструментов изолированной среды, что значительно усложняет попытки анализа безопасности аналитиками.

Стратегии сохранения данных CyberEye включают в себя развертывание в скрытом каталоге и создание запланированной задачи, которая запускается при входе пользователя в систему, маскируя свое присутствие под видом процесса обновления системы. Его возможности по удалению данных облегчаются с помощью Telegram Bot API, где он может отправлять украденную информацию, такую как системные данные и учетные данные пользователя, обратно злоумышленнику в режиме реального времени. Вредоносная программа оснащена модулями, способными извлекать конфиденциальную информацию из браузеров, игровых профилей и платформ обмена сообщениями, что еще больше улучшает ее тактику сбора данных.

Особую обеспокоенность вызывает простота доступа к CyberEye, о чем свидетельствует его публичное распространение через такие источники, как GitHub. Разработчики, связанные с вредоносным ПО, создали обширную документацию и каналы поддержки сообщества, что позволяет начинающим киберпреступникам эффективно внедрять его. Существование частного Telegram-канала предполагает постоянное развитие, которое, возможно, приведет к выпуску расширенных версий с дополнительной функциональностью.

#ParsedReport #CompletenessLow
10-06-2025

A comprehensive analysis of India's apt espionage activities against my country

https://mp.weixin.qq.com/s?__biz=MzkzNDIzNDUxOQ==&mid=2247499422&idx=2&sn=1313fc72a2c2122f08fba5179c78dd55

Report completeness: Low

Actors/Campaigns:
Bitter (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Grimresource_technique
Artradownloader
Wscspl
Bdarkrat
Muuymdownloader
Zxxz_loader
Almond_rat
Wmrat
Trurat
Orpcbackdoor
Miyarat
Kiwistealer
Kugelblitz
Havoc

Victims:
Government organizations, Diplomatic organizations, Defense organizations, Entities associated with china, Entities associated with pakistan, Entities in neighboring countries of the indian subcontinent

Industry:
Government

Geo:
Bangladesh, Pakistan, China, America, India, Indian, Madagascar

CVEs:
CVE-2024-43572 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20796)
- microsoft windows 10 1607 (<10.0.14393.7428)
- microsoft windows 10 1809 (<10.0.17763.6414)
- microsoft windows 10 21h2 (<10.0.19044.5011)
- microsoft windows 10 22h2 (<10.0.19045.5011)
have more...

ChatGPT TTPs:
do not use without manual check
T1027, T1053.005, T1059.001, T1059.003, T1071.001, T1203, T1566.001, T1566.002

IOCs:
Command: 3
Path: 1
File: 1
Domain: 1

Soft:
ProtonMail

Algorithms:
aes-256-cbc, base64, xor

Functions:
Get-Content

Languages:
powershell, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TA397, или Bitter, - это спонсируемая индийским государством группа кибершпионажа, нацеленная на правительственный и оборонный секторы, в основном использующая скрытый фишинг с помощью вложений CHM, сжатых в формате RAR. С 2016 года их вредоносное ПО превратилось в сложные трояны удаленного доступа (RATs), использующие CVE-2024-43572 и сохраняющие выполнение запланированных задач. Они работают через обширную инфраструктуру доменов C2 и имеют развитые TTP, что указывает на высокоорганизованность хакера.
-----

TA397, также известная как Bitter, - это группа кибершпионажа, которая, как полагают, спонсируется правительством Индии и направлена на сбор разведданных об организациях в стратегически важных регионах. Эта группа действует уже не менее восьми лет и в первую очередь нацелена на правительственный, дипломатический и оборонный секторы, в частности на организации, связанные с Китаем, Пакистаном и соседними с Индией странами, в том числе в Европе и Южной Америке.

Технические операции TA397 включают в себя использование уязвимостей и сложных методологий для поддержания постоянства в среде жертвы. Первоначальный доступ часто получают с помощью фишинговых электронных писем, которые имитируют законные сообщения от правительственных или дипломатических учреждений. Эти электронные письма, как правило, содержат вложения в формате CHM, сжатые в формате RAR, или ссылки на файлообменные сервисы, и приходят от взломанных учетных записей или сервисов, таких как 163.com, 126.com и ProtonMail. Заметные строки в теме письма указывают на авторизацию или приглашения к участию в проекте, что указывает на то, что группа сосредоточена на сборе конфиденциальной информации.

С 2016 года вредоносная программа TA397 прошла путь от простых методов загрузки до усовершенствованных троянских программ удаленного доступа (RATs), демонстрируя значительную техническую изощренность. Операционная инфраструктура группы работает в соответствии с индийским стандартным временем (IST), что указывает на возможное местоположение в Индии. Их цепочка заражения основана на запланированных задачах, созданных с помощью команд для регулярного выполнения вредоносных программ, которые взаимодействуют с серверами управления (C2), оснащенными сертификатами Let's Encrypt.

Недавние результаты показали, что TA397 воспользовался уязвимостью CVE-2024-43572 и использовал в своих операциях файлы нескольких типов, включая файлы LNK, CHM, MSC, IQY и MS Access. Их запланированные задачи, выполняемые каждые 16-18 минут, являются примером целенаправленного подхода к обеспечению постоянства и обеспечению непрерывного доступа. Вредоносная программа характеризуется последовательными шаблонами кодирования, связанными со сбором системной информации, и использованием методов обфускации, которые предполагают единую разработку.

Анализ TA397 выявил примечательную инфраструктуру, состоящую из 122 доменов C2 и промежуточных доменов, в которых обычно используются шаблоны URL-адресов PHP, соответствующие распространяемому ими вредоносному ПО. Регулярное выполнение запланированных задач и соблюдение графика работы, согласованного с IST, подчеркивают настойчивые и организованные усилия группы в области кибершпионажа. Изощренность, демонстрируемая их развивающимися тактиками, техниками и процедурами (TTP), укрепляет представление о хорошо обеспеченных ресурсами и методично работающих хакерах.

#ParsedReport #CompletenessLow
09-06-2025

GhostVendors Exposed: Silent Push Uncovers Massive Network of 4000+ Fraudulent Domains Masquerading as Major Brands

https://www.silentpush.com/blog/ghostvendors/

Report completeness: Low

Actors/Campaigns:
Ghostvendors
Ice_breaker

Industry:
Foodtech, E-commerce, Retail, Entertainment

Geo:
German, Australian

ChatGPT TTPs:
do not use without manual check
T1562.002, T1566.002, T1583.001, T1585, T1585.001, T1588.002, T1648

IOCs:
Domain: 134
Email: 1
File: 2

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания "Продавцы призраков" управляет мошенническими торговыми площадками, использующими более 4000 доменов, чтобы выдавать себя за известные бренды и обманывать потребителей низкими ценами. Эта тактика включает в себя быстрое удаление рекламы на таких платформах, как Facebook, что усложняет усилия по обнаружению, в то время как алгоритмы генерации доменов помогают им обходить блокировки.
-----

Аналитики Silent Push Threat выявили крупного хакера, известного как "GhostVendors", который проводит масштабную мошенническую кампанию, создавая тысячи мошеннических торговых площадок. Эти веб-сайты выдают себя за известные бренды и размещают объявления о поддельных товарах, используя более 4000 доменов для облегчения своей работы. Кампания включает в себя покупку рекламы на Facebook для продвижения этих мошеннических сайтов, ориентированных, в частности, на такие компании, как Amazon, Costco и Rolex. Примечательным аспектом этой операции является быстрое удаление рекламы через несколько дней, что позволяет использовать рекламную политику Meta для удаления любых следов кампании, что усложняет усилия по отслеживанию и устранению этих угроз.

Хакеры, связанные с GhostVendors, используют различные тактики, типичные для мошенничества с поддельными торговыми площадками. Они предлагают реальные товары по необычно низким ценам, чтобы обманом заставить потребителей совершать покупки, которые часто приводят к недоставке или краже платежных реквизитов. Использование алгоритмов генерации доменов (DGA) позволяет им быстро создавать множество доменов, вводящих в заблуждение, что способствует высокой текучести кадров, направленной на то, чтобы избежать обнаружения и блокировок со стороны социальных сетей.

В одном случае аналитики заметили рекламу на Facebook, рекламирующую набор инструментов Milwaukee Tool Box под измененным названием “Millaeke”, что указывало на прямую попытку подделки бренда. Реклама привела к искусно замаскированному домену, демонстрирующему общую стратегию этих хакеров. Команда отметила, что после завершения рекламной кампании весь связанный контент и реклама удаляются из библиотеки мета-рекламы, что создает препятствия для аналитиков кибербезопасности, пытающихся отслеживать эти вредоносные действия.

Кроме того, в рекламе используются определенные шаблоны метаданных, которые можно отследить с помощью поисковых систем. Запрашивая точные названия продуктов, связанных с мошенничеством, исследователи могут выявить закономерности и связать несколько доменов с одним и тем же субъектом, что облегчает понимание тактики действий этих мошенников. Например, была обнаружена еще одна реклама на странице Facebook “Rabx-B”, рекламирующая различные сомнительные домены, что дало дополнительное представление о подходе хакера.

Аналитики Silent Push подчеркивают сохраняющуюся угрозу, исходящую от этих поддельных торговых площадок, которые представляют собой обширный и рассеянный по всему миру ландшафт угроз. Несмотря на разнообразие видов мошенничества, они часто используют общие структурные шаблоны, которые обеспечивают быстрое внедрение, что подчеркивает необходимость тщательного мониторинга и принятия контрмер против таких хакеров, использующих платформы социальной коммерции. Эти операции не только угрожают брендам и их репутации, но и подвергают потребителей риску финансового мошенничества, поскольку многие процессы онлайн-покупок, скорее всего, направлены на использование платежной информации без предоставления обещанных товаров.

#ParsedReport #CompletenessMedium
10-06-2025

Say Hi to HelloTDS: The Infrastructure Behind FakeCaptcha

https://www.gendigital.com/blog/insights/research/inside-hellotds-malware-network

Report completeness: Medium

Threats:
Hellotds
Fakecaptcha_technique
Lumma_stealer
Emmenhtal

Industry:
Telco, Healthcare

Geo:
Kenya, Czechia, Egypt, Panama, Tanzania, India, Rwanda, Iceland, Brazil, Africa

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1082, T1132.002, T1189, T1204.001, T1204.002, T1518.001, T1564.003

IOCs:
Domain: 13
File: 4
IP: 7
Url: 2

Soft:
Chrome, Opera

Algorithms:
base64

Languages:
javascript

Links:
https://github.com/avast/ioc/tree/master/HelloTDS

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 9, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
HelloTDS использует систему управления трафиком для распространения вредоносных программ, таких как LummaC2 и FakeCaptcha, через взломанные веб-сайты, используя геолокацию и отпечатки пальцев браузера для таргетинга. Инфраструктура маскирует вредоносные действия с помощью законно выглядящих сайтов, что приводит пользователей к вредоносному контенту, скрывая при этом его истинные намерения.
-----

Анализ инфраструктуры HelloTDS выявил сложную систему управления трафиком (TDS), которая способствует проведению различных вредоносных кампаний, включая FakeCaptcha, путем использования уязвимых веб-сайтов и методов вредоносной рекламы. HelloTDS работает через надежную сеть, которая использует геолокацию, IP-адреса и отпечатки пальцев в браузере для определения характера контента, доставляемого пользователям. В частности, она нацелена на пользователей через взломанные сайты потоковой передачи и службы обмена файлами, которые были использованы для загрузки вредоносных скриптов. Эффективность этих кампаний заключается в их способности имитировать законные программные платформы, что повышает их скрытность и усложняет усилия по обнаружению.

Широко известна кампания FakeCaptcha, использующая тактику социальной инженерии, которая вводит пользователей в заблуждение относительно распространенных методов использования CAPTCHA. Жертв часто обманом заставляют выполнять вредоносные команды, что, как правило, приводит к установке вредоносных программ, похищающих информацию, таких как LummaC2. При посещении зараженного сайта пользователи подвергаются ряду методов снятия отпечатков пальцев, основанных на JavaScript. Основываясь на результатах этих проверок, система либо показывает доброкачественный контент, либо перенаправляет пользователей на более вредоносные целевые страницы, в том числе связанные с поддельной капчей, мошенничеством с технической поддержкой и поддельными загрузками.

Изучая точки входа на HelloTDS, можно сказать, что многие из этих сайтов созданы для того, чтобы казаться легитимными, в то время как на самом деле они предназначены для оказания помощи в процессе атаки. Как правило, инфраструктура скрыта за доменными именами, зарегистрированными в Панаме, или за использованием нетрадиционных TLD, таких как ".top" или ".shop", часто с использованием API, которые усиливают запутывание и обходят меры безопасности. Отпечатки пальцев, полученные во время первоначального выполнения JavaScript, систематически анализируются для адаптации последующих полезных нагрузок, совершенствуя процесс фильтрации для точной идентификации потенциальных жертв.

Конечная полезная нагрузка часто приводит к перенаправлению на целевые страницы FakeCaptcha; однако некоторые URL-адреса структурированы таким образом, чтобы отображать безобидный контент в контролируемой среде, в первую очередь для того, чтобы ввести в заблуждение потенциальных исследователей. Такая тактика не только усложняет отслеживание вредоносной активности, но и позволяет эффективно скрывать истинные намерения инфраструктуры. Сообщалось о тенденции перенаправления пользователей на различные платформы, связанные с криптовалютами, что не только генерирует трафик для злоумышленника, но и соответствует цели вредоносного ПО по сбору конфиденциальных данных, связанных с криптовалютными кошельками.

Для борьбы с этими угрозами важно соблюдать строгие меры безопасности. Пользователям рекомендуется использовать надежное программное обеспечение для обеспечения безопасности, включать защиту браузера от отслеживания и рекламы и проявлять осторожность при посещении сайтов, предоставляющих доступ к файлам или потоковую передачу. Инфраструктура HelloTDS отражает более широкую тенденцию, когда киберпреступники постоянно совершенствуют свои методы, чтобы избежать обнаружения и расширить охват, что делает понимание и снижение этих рисков первостепенными в сфере кибербезопасности.

#ParsedReport #CompletenessMedium
10-06-2025

Skitnet ("Bossnet") in 2025: Stealthy Malware Powering Sophisticated Ransomware Tactics

https://wardenshield.com/skitnet-bossnet-in-2025-stealthy-malware-powering-sophisticated-ransomware-tactics

Report completeness: Medium

Actors/Campaigns:
Larva-306

Threats:
Skitnet
Qakbot
Icedid
Blackbasta
Cactus_ransomware
Dns_tunneling_technique
Dll_hijacking_technique
Anydesk_tool
Lolbin_technique
Transferloader
Morpheus

Industry:
Telco, Education

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1020, T1021.001, T1021.002, T1027, T1036.005, T1041, T1047, T1049, T1053.005, have more...

IOCs:
Email: 1
Path: 2
File: 2

Soft:
Microsoft Teams, Microsoft Exchange

Algorithms:
rc4, xor, base64, chacha20

Win API:
GetProcAddress, LoadLibrary

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Skitnet, сложное средство для вымогательства, разработанное хакером LARVA-306, включает в себя многоэтапный процесс заражения и использует возможности автоматизированного развертывания и защиты от криминалистической экспертизы. В нем используется загрузчик на базе Rust для создания обратной оболочки на основе DNS для связи C2, что позволяет киберпреступникам выполнять различные действия после использования, избегая обнаружения. Организациям рекомендуется применять многоуровневые меры безопасности и отслеживать трафик DNS, чтобы снизить риски, связанные с Skitnet.
-----

Skitnet, также известный как Bossnet, стал серьезной угрозой для вымогателей в 2025 году. Разработанный хакером LARVA-306, он был представлен на подпольных форумах, таких как RAMP, в апреле 2024 года. Вредоносная программа включает в себя серверную панель управления, что облегчает ее использование киберпреступниками различного уровня квалификации. Она обеспечивает автоматизированное развертывание и обладает возможностями защиты от криминалистической экспертизы для удаления журналов и истории команд.

Такие группы программ-вымогателей, как Black Basta и Cactus, использовали Skitnet в фишинговых кампаниях, нацеленных на команды Microsoft, к апрелю 2025 года. В нем используется многоэтапный процесс заражения с использованием фишинговых или скомпрометированных учетных данных для первоначального доступа. Skitnet оснащен загрузчиком на основе Rust, который расшифровывает и выполняет двоичный файл Nim в памяти, создавая скрытую обратную оболочку на основе DNS для обмена командами и контролем.

Функциональные возможности вредоносной программы включают в себя захват скриншотов, установку средств удаленного доступа, извлечение конфиденциальных данных и поддержание постоянства с помощью таких методов, как перехват библиотек DLL и скриптов PowerShell. Skitnet разработан с использованием скрытых механизмов, использует менее распространенные языки программирования, выполнение в памяти и динамическое разрешение API.

Кража данных Skitnet перед внедрением программы-вымогателя соответствует тактике двойного вымогательства. Ее доступность на подпольных форумах упрощает ее использование хакерами, не требуя обширных технических навыков. Рекомендуемые средства защиты включают мониторинг трафика DNS, решения для обнаружения конечных точек и реагирования на них, ограничение привилегий PowerShell, регулярное управление исправлениями, обучение навыкам борьбы с фишингом и внедрение архитектуры нулевого доверия.