#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TA397, или Bitter, - это спонсируемая индийским государством группа кибершпионажа, нацеленная на правительственный и оборонный секторы, в основном использующая скрытый фишинг с помощью вложений CHM, сжатых в формате RAR. С 2016 года их вредоносное ПО превратилось в сложные трояны удаленного доступа (RATs), использующие CVE-2024-43572 и сохраняющие выполнение запланированных задач. Они работают через обширную инфраструктуру доменов C2 и имеют развитые TTP, что указывает на высокоорганизованность хакера.
-----

TA397, также известная как Bitter, - это группа кибершпионажа, которая, как полагают, спонсируется правительством Индии и направлена на сбор разведданных об организациях в стратегически важных регионах. Эта группа действует уже не менее восьми лет и в первую очередь нацелена на правительственный, дипломатический и оборонный секторы, в частности на организации, связанные с Китаем, Пакистаном и соседними с Индией странами, в том числе в Европе и Южной Америке.

Технические операции TA397 включают в себя использование уязвимостей и сложных методологий для поддержания постоянства в среде жертвы. Первоначальный доступ часто получают с помощью фишинговых электронных писем, которые имитируют законные сообщения от правительственных или дипломатических учреждений. Эти электронные письма, как правило, содержат вложения в формате CHM, сжатые в формате RAR, или ссылки на файлообменные сервисы, и приходят от взломанных учетных записей или сервисов, таких как 163.com, 126.com и ProtonMail. Заметные строки в теме письма указывают на авторизацию или приглашения к участию в проекте, что указывает на то, что группа сосредоточена на сборе конфиденциальной информации.

С 2016 года вредоносная программа TA397 прошла путь от простых методов загрузки до усовершенствованных троянских программ удаленного доступа (RATs), демонстрируя значительную техническую изощренность. Операционная инфраструктура группы работает в соответствии с индийским стандартным временем (IST), что указывает на возможное местоположение в Индии. Их цепочка заражения основана на запланированных задачах, созданных с помощью команд для регулярного выполнения вредоносных программ, которые взаимодействуют с серверами управления (C2), оснащенными сертификатами Let's Encrypt.

Недавние результаты показали, что TA397 воспользовался уязвимостью CVE-2024-43572 и использовал в своих операциях файлы нескольких типов, включая файлы LNK, CHM, MSC, IQY и MS Access. Их запланированные задачи, выполняемые каждые 16-18 минут, являются примером целенаправленного подхода к обеспечению постоянства и обеспечению непрерывного доступа. Вредоносная программа характеризуется последовательными шаблонами кодирования, связанными со сбором системной информации, и использованием методов обфускации, которые предполагают единую разработку.

Анализ TA397 выявил примечательную инфраструктуру, состоящую из 122 доменов C2 и промежуточных доменов, в которых обычно используются шаблоны URL-адресов PHP, соответствующие распространяемому ими вредоносному ПО. Регулярное выполнение запланированных задач и соблюдение графика работы, согласованного с IST, подчеркивают настойчивые и организованные усилия группы в области кибершпионажа. Изощренность, демонстрируемая их развивающимися тактиками, техниками и процедурами (TTP), укрепляет представление о хорошо обеспеченных ресурсами и методично работающих хакерах.

#ParsedReport #CompletenessLow
09-06-2025

GhostVendors Exposed: Silent Push Uncovers Massive Network of 4000+ Fraudulent Domains Masquerading as Major Brands

https://www.silentpush.com/blog/ghostvendors/

Report completeness: Low

Actors/Campaigns:
Ghostvendors
Ice_breaker

Industry:
Foodtech, E-commerce, Retail, Entertainment

Geo:
German, Australian

ChatGPT TTPs:
do not use without manual check
T1562.002, T1566.002, T1583.001, T1585, T1585.001, T1588.002, T1648

IOCs:
Domain: 134
Email: 1
File: 2

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания "Продавцы призраков" управляет мошенническими торговыми площадками, использующими более 4000 доменов, чтобы выдавать себя за известные бренды и обманывать потребителей низкими ценами. Эта тактика включает в себя быстрое удаление рекламы на таких платформах, как Facebook, что усложняет усилия по обнаружению, в то время как алгоритмы генерации доменов помогают им обходить блокировки.
-----

Аналитики Silent Push Threat выявили крупного хакера, известного как "GhostVendors", который проводит масштабную мошенническую кампанию, создавая тысячи мошеннических торговых площадок. Эти веб-сайты выдают себя за известные бренды и размещают объявления о поддельных товарах, используя более 4000 доменов для облегчения своей работы. Кампания включает в себя покупку рекламы на Facebook для продвижения этих мошеннических сайтов, ориентированных, в частности, на такие компании, как Amazon, Costco и Rolex. Примечательным аспектом этой операции является быстрое удаление рекламы через несколько дней, что позволяет использовать рекламную политику Meta для удаления любых следов кампании, что усложняет усилия по отслеживанию и устранению этих угроз.

Хакеры, связанные с GhostVendors, используют различные тактики, типичные для мошенничества с поддельными торговыми площадками. Они предлагают реальные товары по необычно низким ценам, чтобы обманом заставить потребителей совершать покупки, которые часто приводят к недоставке или краже платежных реквизитов. Использование алгоритмов генерации доменов (DGA) позволяет им быстро создавать множество доменов, вводящих в заблуждение, что способствует высокой текучести кадров, направленной на то, чтобы избежать обнаружения и блокировок со стороны социальных сетей.

В одном случае аналитики заметили рекламу на Facebook, рекламирующую набор инструментов Milwaukee Tool Box под измененным названием “Millaeke”, что указывало на прямую попытку подделки бренда. Реклама привела к искусно замаскированному домену, демонстрирующему общую стратегию этих хакеров. Команда отметила, что после завершения рекламной кампании весь связанный контент и реклама удаляются из библиотеки мета-рекламы, что создает препятствия для аналитиков кибербезопасности, пытающихся отслеживать эти вредоносные действия.

Кроме того, в рекламе используются определенные шаблоны метаданных, которые можно отследить с помощью поисковых систем. Запрашивая точные названия продуктов, связанных с мошенничеством, исследователи могут выявить закономерности и связать несколько доменов с одним и тем же субъектом, что облегчает понимание тактики действий этих мошенников. Например, была обнаружена еще одна реклама на странице Facebook “Rabx-B”, рекламирующая различные сомнительные домены, что дало дополнительное представление о подходе хакера.

Аналитики Silent Push подчеркивают сохраняющуюся угрозу, исходящую от этих поддельных торговых площадок, которые представляют собой обширный и рассеянный по всему миру ландшафт угроз. Несмотря на разнообразие видов мошенничества, они часто используют общие структурные шаблоны, которые обеспечивают быстрое внедрение, что подчеркивает необходимость тщательного мониторинга и принятия контрмер против таких хакеров, использующих платформы социальной коммерции. Эти операции не только угрожают брендам и их репутации, но и подвергают потребителей риску финансового мошенничества, поскольку многие процессы онлайн-покупок, скорее всего, направлены на использование платежной информации без предоставления обещанных товаров.

#ParsedReport #CompletenessMedium
10-06-2025

Say Hi to HelloTDS: The Infrastructure Behind FakeCaptcha

https://www.gendigital.com/blog/insights/research/inside-hellotds-malware-network

Report completeness: Medium

Threats:
Hellotds
Fakecaptcha_technique
Lumma_stealer
Emmenhtal

Industry:
Telco, Healthcare

Geo:
Kenya, Czechia, Egypt, Panama, Tanzania, India, Rwanda, Iceland, Brazil, Africa

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1082, T1132.002, T1189, T1204.001, T1204.002, T1518.001, T1564.003

IOCs:
Domain: 13
File: 4
IP: 7
Url: 2

Soft:
Chrome, Opera

Algorithms:
base64

Languages:
javascript

Links:
https://github.com/avast/ioc/tree/master/HelloTDS

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 9, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
HelloTDS использует систему управления трафиком для распространения вредоносных программ, таких как LummaC2 и FakeCaptcha, через взломанные веб-сайты, используя геолокацию и отпечатки пальцев браузера для таргетинга. Инфраструктура маскирует вредоносные действия с помощью законно выглядящих сайтов, что приводит пользователей к вредоносному контенту, скрывая при этом его истинные намерения.
-----

Анализ инфраструктуры HelloTDS выявил сложную систему управления трафиком (TDS), которая способствует проведению различных вредоносных кампаний, включая FakeCaptcha, путем использования уязвимых веб-сайтов и методов вредоносной рекламы. HelloTDS работает через надежную сеть, которая использует геолокацию, IP-адреса и отпечатки пальцев в браузере для определения характера контента, доставляемого пользователям. В частности, она нацелена на пользователей через взломанные сайты потоковой передачи и службы обмена файлами, которые были использованы для загрузки вредоносных скриптов. Эффективность этих кампаний заключается в их способности имитировать законные программные платформы, что повышает их скрытность и усложняет усилия по обнаружению.

Широко известна кампания FakeCaptcha, использующая тактику социальной инженерии, которая вводит пользователей в заблуждение относительно распространенных методов использования CAPTCHA. Жертв часто обманом заставляют выполнять вредоносные команды, что, как правило, приводит к установке вредоносных программ, похищающих информацию, таких как LummaC2. При посещении зараженного сайта пользователи подвергаются ряду методов снятия отпечатков пальцев, основанных на JavaScript. Основываясь на результатах этих проверок, система либо показывает доброкачественный контент, либо перенаправляет пользователей на более вредоносные целевые страницы, в том числе связанные с поддельной капчей, мошенничеством с технической поддержкой и поддельными загрузками.

Изучая точки входа на HelloTDS, можно сказать, что многие из этих сайтов созданы для того, чтобы казаться легитимными, в то время как на самом деле они предназначены для оказания помощи в процессе атаки. Как правило, инфраструктура скрыта за доменными именами, зарегистрированными в Панаме, или за использованием нетрадиционных TLD, таких как ".top" или ".shop", часто с использованием API, которые усиливают запутывание и обходят меры безопасности. Отпечатки пальцев, полученные во время первоначального выполнения JavaScript, систематически анализируются для адаптации последующих полезных нагрузок, совершенствуя процесс фильтрации для точной идентификации потенциальных жертв.

Конечная полезная нагрузка часто приводит к перенаправлению на целевые страницы FakeCaptcha; однако некоторые URL-адреса структурированы таким образом, чтобы отображать безобидный контент в контролируемой среде, в первую очередь для того, чтобы ввести в заблуждение потенциальных исследователей. Такая тактика не только усложняет отслеживание вредоносной активности, но и позволяет эффективно скрывать истинные намерения инфраструктуры. Сообщалось о тенденции перенаправления пользователей на различные платформы, связанные с криптовалютами, что не только генерирует трафик для злоумышленника, но и соответствует цели вредоносного ПО по сбору конфиденциальных данных, связанных с криптовалютными кошельками.

Для борьбы с этими угрозами важно соблюдать строгие меры безопасности. Пользователям рекомендуется использовать надежное программное обеспечение для обеспечения безопасности, включать защиту браузера от отслеживания и рекламы и проявлять осторожность при посещении сайтов, предоставляющих доступ к файлам или потоковую передачу. Инфраструктура HelloTDS отражает более широкую тенденцию, когда киберпреступники постоянно совершенствуют свои методы, чтобы избежать обнаружения и расширить охват, что делает понимание и снижение этих рисков первостепенными в сфере кибербезопасности.

#ParsedReport #CompletenessMedium
10-06-2025

Skitnet ("Bossnet") in 2025: Stealthy Malware Powering Sophisticated Ransomware Tactics

https://wardenshield.com/skitnet-bossnet-in-2025-stealthy-malware-powering-sophisticated-ransomware-tactics

Report completeness: Medium

Actors/Campaigns:
Larva-306

Threats:
Skitnet
Qakbot
Icedid
Blackbasta
Cactus_ransomware
Dns_tunneling_technique
Dll_hijacking_technique
Anydesk_tool
Lolbin_technique
Transferloader
Morpheus

Industry:
Telco, Education

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1020, T1021.001, T1021.002, T1027, T1036.005, T1041, T1047, T1049, T1053.005, have more...

IOCs:
Email: 1
Path: 2
File: 2

Soft:
Microsoft Teams, Microsoft Exchange

Algorithms:
rc4, xor, base64, chacha20

Win API:
GetProcAddress, LoadLibrary

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Skitnet, сложное средство для вымогательства, разработанное хакером LARVA-306, включает в себя многоэтапный процесс заражения и использует возможности автоматизированного развертывания и защиты от криминалистической экспертизы. В нем используется загрузчик на базе Rust для создания обратной оболочки на основе DNS для связи C2, что позволяет киберпреступникам выполнять различные действия после использования, избегая обнаружения. Организациям рекомендуется применять многоуровневые меры безопасности и отслеживать трафик DNS, чтобы снизить риски, связанные с Skitnet.
-----

Skitnet, также известный как Bossnet, стал серьезной угрозой для вымогателей в 2025 году. Разработанный хакером LARVA-306, он был представлен на подпольных форумах, таких как RAMP, в апреле 2024 года. Вредоносная программа включает в себя серверную панель управления, что облегчает ее использование киберпреступниками различного уровня квалификации. Она обеспечивает автоматизированное развертывание и обладает возможностями защиты от криминалистической экспертизы для удаления журналов и истории команд.

Такие группы программ-вымогателей, как Black Basta и Cactus, использовали Skitnet в фишинговых кампаниях, нацеленных на команды Microsoft, к апрелю 2025 года. В нем используется многоэтапный процесс заражения с использованием фишинговых или скомпрометированных учетных данных для первоначального доступа. Skitnet оснащен загрузчиком на основе Rust, который расшифровывает и выполняет двоичный файл Nim в памяти, создавая скрытую обратную оболочку на основе DNS для обмена командами и контролем.

Функциональные возможности вредоносной программы включают в себя захват скриншотов, установку средств удаленного доступа, извлечение конфиденциальных данных и поддержание постоянства с помощью таких методов, как перехват библиотек DLL и скриптов PowerShell. Skitnet разработан с использованием скрытых механизмов, использует менее распространенные языки программирования, выполнение в памяти и динамическое разрешение API.

Кража данных Skitnet перед внедрением программы-вымогателя соответствует тактике двойного вымогательства. Ее доступность на подпольных форумах упрощает ее использование хакерами, не требуя обширных технических навыков. Рекомендуемые средства защиты включают мониторинг трафика DNS, решения для обнаружения конечных точек и реагирования на них, ограничение привилегий PowerShell, регулярное управление исправлениями, обучение навыкам борьбы с фишингом и внедрение архитектуры нулевого доверия.

#ParsedReport #CompletenessMedium
10-06-2025

Two Botnets, One Flaw: Mirai Spreads Through Wazuh Vulnerability

https://www.akamai.com/blog/security-research/2025/jun/botnets-flaw-mirai-spreads-through-wazuh-vulnerability

Report completeness: Medium

Threats:
Mirai
Resbot_botnet
Vega_locker

Victims:
Wazuh users, Iot device owners

Industry:
Iot

Geo:
Italian

CVEs:
CVE-2017-18368 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- billion 5200w-t firmware (7.3.8.0)

CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532 firmware (-)

CVE-2023-1389 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tp-link archer ax21 firmware (<1.1.4)

CVE-2025-24016 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1036.005, T1046, T1059.006, T1071.001, T1078, T1095, T1105, T1133, T1190, T1210, have more...

IOCs:
Url: 18
File: 10
IP: 10
Domain: 15
Hash: 15

Soft:
Burp Suite, curl, Hadoop, ZyXEL

Algorithms:
sha256, md5, deflate, gzip, base64

Languages:
python

Platforms:
mpsl, x64, arm, m68k, x86, mips

Links:
have more...
https://github.com/MuhammadWaseem29/CVE-2025-24016
https://github.com/stasinopoulos/ZTExploit/blob/master/ZTExploit\_Source/ztexploit.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE-2025-24016 RCE в серверах Wazuh активно используется двумя ботнетами под названием "Resbot" и "resgod", которые распространяют варианты Mirai, такие как "morte", и нацелены на устройства Интернета вещей. Атаки используют известные уязвимости и требуют срочного обновления до версии Wazuh 4.9.1 или выше.
-----

Активная эксплуатация уязвимости удаленного выполнения кода (RCE) CVE-2025-24016 на серверах Wazuh была связана с двумя отдельными ботнетами, участвующими в распространении вариантов вредоносного ПО Mirai. Эта критическая уязвимость (CVSS 9.9), раскрытая в феврале 2025 года, затрагивает Wazuh версий с 4.4.0 по 4.9.0 и позволяет злоумышленникам выполнять произвольный код, загружая вредоносно созданный JSON-файл через децентрализованные запросы API (DAPI). Группа разведки и реагирования Akamai Security (SIRT) выявила попытки взлома еще в марте 2025 года, что стало первым сообщением об активных угрозах с момента раскрытия.

При эксплуатации используется несколько известных уязвимостей, включая, среди прочего, CVE-2023-1389 и CVE-2017-17215. Злоумышленники получают доступ через API Wazuh, в частности, используя конечную точку run_as, которая позволяет им управлять аргументом auth_context. Проверка работоспособности концепции продемонстрировала это, используя заголовок авторизации в кодировке Base64 для выполнения произвольного кода на Python, подчеркнув опасность уязвимости для активных серверов Wazuh.

Первый ботнет, получивший название "Resbot", продемонстрировал подключение к доменам с итальянскими именами, что позволяет предположить, что он нацелен на италоязычных пользователей. Этот ботнет использует уязвимость RCE для получения и выполнения вредоносного сценария оболочки, что приводит к распространению полезной нагрузки Mirai, идентифицированной как "morte". Эти образцы вредоносных программ, входящие в семейство вариантов LZRD, обеспечивают поддержку нескольких архитектур, в первую очередь предназначенных для устройств Интернета вещей. Расследования связали операции этого ботнета с различными доменами управления (C2) и их разрешающими IP-адресами, выявив множество связанных с ними вредоносных программ, включая троян удаленного доступа на базе Windows (RAT), замаскированный под законный процесс.

Второй идентифицированный ботнет начал свою кампанию с использованием сервиса Wazuh в мае 2025 года, с аналогичными характеристиками, как и первый, используя вредоносный сценарий оболочки для распространения Mirai. Эта вредоносная программа, получившая название "resgod", также нацелена на устройства Интернета вещей и отличается наличием доменов на итальянском языке, что усиливает потенциальную географическую направленность атаки. Она продемонстрировала поведение при сканировании на наличие уязвимостей, в частности, с использованием FTP и Telnet.

Продолжающаяся эксплуатация CVE-2025-24016 подчеркивает настоятельную необходимость оперативного применения исправлений организациями, в частности, обновления до версии Wazuh 4.9.1 или более поздней для снижения потенциальных рисков. Наблюдаемая быстрая адаптация ботнетов к недавно обнаруженным уязвимостям служит суровым напоминанием о сохраняющихся угрозах, создаваемых слабыми системами безопасности, и о важности регулярного обновления программных систем.

#ParsedReport #CompletenessLow
10-06-2025

Analysis of the last wave of Mirai Botnet attacks on TBK DVR devices with a vulnerability CVE-2024-3721

https://securelist.ru/mirai-botnet-variant-targets-dvr-devices-with-cve-2024-3721/112862/

Report completeness: Low

Threats:
Mirai
Bashlite

Industry:
Iot

Geo:
India, Egypt, China, Ukraine, Turkey, Brazil, Russia

CVEs:
CVE-2024-3721 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1059.004, T1082, T1190, T1496, T1518, T1587.001

IOCs:
Hash: 17
IP: 11

Soft:
Linux, Qemu

Algorithms:
rc4, xor

Platforms:
arm

Links:
https://github.com/netsecfish/tbk\_dvr\_command\_injection

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры внедряют ботов, появляющихся из ботнета Mirai, для использования уязвимостей, таких как CVE-2024-3721, позволяющих удаленно выполнять код на устройствах TBK DVR. Этот бот нацелен на широко используемые системы наблюдения IoT и использует передовые методы обхода, в то время как тысячи устройств остаются уязвимыми. Оперативное обновление встроенного ПО и сброс настроек к заводским имеют жизненно важное значение для защиты от подобных угроз.
-----

Недавние наблюдения в hacker intelligence указывают на распространенность внедрения ботов, нацеленных на уязвимые системы, особенно с хорошо известными пробелами в системе безопасности. хакеры используют автоматизированных ботов, которые постоянно сканируют Интернет на наличие этих уязвимостей, часто нацеливаясь на HTTP-сервисы с помощью эксплойтов, способных обеспечить удаленное выполнение кода (RCE). Примечательно, что были попытки использовать уязвимость CVE-2024-3721, которая позволяет злоумышленникам внедрять бота на такие устройства, как видеорегистраторы TBK, посредством несанкционированного POST-запроса, содержащего вредоносный shell-скрипт. Этот бот, идентифицированный как модифицированная версия печально известного ботнета Mirai, специально предназначен для систем видеонаблюдения DVR, которые широко используются для записи видео и удаленного управления.

Анализ логов системы honeypot выявил специфическую строку запроса, связанную с CVE-2024-3721. Эта уязвимость позволяет выполнять системные команды на взломанных устройствах TBK DVR без надлежащей авторизации, что представляет значительный риск. Вредоносная команда, встроенная в POST-запрос, загружает и выполняет двоичный файл, предназначенный для архитектуры ARM32, облегчая работу бота на скомпрометированном устройстве.

Исходный код ботнета Mirai, впервые обнародованный почти десять лет назад, с тех пор подвергся многочисленным модификациям со стороны различных киберпреступников, что привело к созданию обширных ботнетов, ориентированных на распределенные атаки типа "Отказ в обслуживании" (DDoS). Текущая версия, заражающая устройства DVR, включает в себя расширенные функции, такие как шифрование RC4 для обфускации строк, и проверяет, запущен ли бот в виртуальной среде, в частности, ищет признаки VMware или Qemu. Это достигается путем доступа к файловой системе "/proc" в Linux для проверки ее операционной среды.

Данные телеметрии указывают на то, что значительное количество зараженных устройств находится в таких странах, как Китай, Индия, Египет, Украина, Россия, Турция и Бразилия. Хотя количественная оценка общего числа уязвимых и скомпрометированных устройств во всем мире сопряжена с трудностями, с помощью аналитических данных с открытым исходным кодом было идентифицировано более 50 000 уязвимых видеорегистраторов, что свидетельствует о значительной уязвимости для атак.

Продолжающееся использование выявленных уязвимостей в устройствах Интернета вещей (IoT) и серверах на базе Linux остается серьезной проблемой, поскольку многочисленные боты предназначены для выявления и устранения этих уязвимостей. Хотя многие из этих ботов перестают работать после перезагрузки устройства из-за ограничений встроенного ПО, которые ограничивают внесение изменений в файловую систему, своевременное обновление встроенного ПО и сброс настроек к заводским для уязвимых устройств являются важными профилактическими мерами. Решения для обеспечения безопасности, такие как "Лаборатория Касперского", идентифицируют эти угрозы под обозначениями HEUR:Backdoor.Linux.Mirai и HEUR:Backdoor.Linux.Gafgyt, подчеркивая необходимость повышенной бдительности в отношении таких хакеров.

#ParsedReport #CompletenessLow
09-06-2025

DanaBleed: DanaBot C2 Server Memory Leak Bug

https://www.zscaler.com/blogs/security-research/danableed-danabot-c2-server-memory-leak-bug

Report completeness: Low

Threats:
Danableed_vuln
Danabot
Supply_chain_technique

Victims:
Ukrainian ministry of defense

Industry:
Financial

Geo:
Ukrainian, Russian

ChatGPT TTPs:
do not use without manual check
T1041, T1056.001, T1071.001, T1083, T1090, T1555, T1565.001, T1587.002

IOCs:
Hash: 2

Algorithms:
sha256, md5

Languages:
delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DanaBot, с 2018 года выпускающий вредоносное ПО как услугу, занимается кражей учетных данных и банковским мошенничеством, что оказывает значительное влияние на киберпреступность, включая нацеливание на NPM и DDoS-атаку во время вторжения в 2022 году. Уязвимость "DanaBleed", появившаяся в 2022 году, привела к утечке конфиденциальных данных с сервера C2 из-за утечки памяти, что позволило получить представление о работе DanaBot до 2025 года. Обновленный протокол C2 также предоставил доступ к неинициализированной памяти, раскрывая дополнительные детали работы.
-----

DanaBot - это платформа Malware-as-a-Service (MaaS), которая работает с 2018 года и занимается такими видами деятельности, как кража учетных данных и банковское мошенничество, используя партнерскую модель. Хакер, стоящий за DanaBot, управляет разработкой вредоносного ПО, инфраструктурой управления (C2) и оперативной поддержкой филиалов, распространяющих вредоносное ПО. Компания DanaBot была связана со значительными киберпреступлениями, включая атаку на популярные пакеты NPM по цепочке поставок и DDoS-атаку на Министерство обороны Украины во время российского вторжения в 2022 году. В мае 2025 года усилия правоохранительных органов, известные как операция "Эндшпиль", привели к демонтажу инфраструктуры DanaBot и предъявлению обвинений 16 лицам, связанным с этой группой.

Критическая техническая ошибка, связанная с DanaBot, называемая "DanaBleed", выявилась после выхода версии 2380 в июне 2022 года. В этой версии произошла утечка памяти на сервере C2, аналогичная по своей природе хорошо известной уязвимости Heartbleed, обнаруженной в 2014 году. Программная ошибка привела к утечке до 1792 байт оперативной памяти сервера в ответах, отправленных жертвам взлома. Утечка данных включала конфиденциальную информацию, такую как имена пользователей, IP-адреса хакеров, сведения о внутреннем сервере C2, статистику утечки, личные криптографические ключи, IP-адреса жертв и учетные данные. Уязвимость сохранялась до начала 2025 года, предоставляя исследователям, таким как ThreatLabZ, беспрецедентный доступ к внутренним операциям DanaBot.

Протокол C2, используемый DanaBot, претерпел значительные изменения с момента появления проблемы утечки памяти. До обновления структура команд была простой и включала в себя генерацию командных данных, их шифрование и отправку данных. Новый протокол C2 добавил сложности, включив дополнительные байты, которые не были должным образом инициализированы, что привело к доступу к неинициализированной памяти, содержащей конфиденциальные рабочие данные. Эта непреднамеренная оплошность позволила восстановить различные инструкции SQL, серверные журналы, результаты отладки и фрагменты HTML с сервера C2, что еще больше прояснило инфраструктуру и процессы DanaBot.