#ParsedReport #CompletenessMedium
09-06-2025

Analysis of DISGOMOJI variant attack activity of APT-C-56 (Transparent Tribe) against Linux system

https://www.ctfiot.com/253976.html

Report completeness: Medium

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Disgomoji
Crimson_rat
Poseidon
Meshagent_tool

Victims:
Military, Government personnel

Industry:
Government, Military

Geo:
Pakistan, Asia, Indian, India

ChatGPT TTPs:
do not use without manual check
T1027, T1059.004, T1071.003, T1105, T1204.002, T1219, T1547.004, T1566.001, T1567.002

IOCs:
File: 6
Hash: 11
Url: 12

Soft:
Linux, curl, udo ja, Discord, WeChat

Algorithms:
md5, rc4, aes, zip

Languages:
golang, java

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа APT-C-56 из Южной Азии использует социальную инженерию и атаки harpoon, распространяя вредоносные программы, такие как CrimsonRAT и вариант DISGOMOJI, через Google Диск. Теперь их тактика включает в себя использование Google Cloud для сбора данных и методов сохранения данных в системах Linux, нацеленных на индийских военных и правительственный персонал.
-----

APT-C-56, также известная как Transparent Tribe, APT36, projectM или C-Major, - это изощренная хакерская группировка из Южной Азии, которая в первую очередь нацелена на Индию и соседние с ней страны. Группа преуспела в социальной инженерии и кибератаках в стиле harpoon, используя различные возможности по загрузке полезной нагрузки и технологии кроссплатформенных атак. Они разработали троянские программы CrimsonRAT, специально предназначенные для систем Windows, и используют различные инструменты, которые включают компоненты Poseidon для работы в системах Linux.

Недавно в отчете 360 Advanced Threat Research Institute было подробно описано использование группой вредоносного ПО, поставляемого с помощью исполняемого файла ELF, написанного на языке Golang. Это вредоносное ПО распространяется через Google Диск и взаимодействует с облачной платформой Google для фильтрации данных. В ходе этой атаки пользователей заманивают к использованию файла с обманчивым названием "пароль", который якобы открывает доступ к документу-приманке. При запуске этот файл запускает загрузку дешифратора, а также файла данных конфигурации и jar-файла, которые играют важную роль в процессе выполнения вредоносной программы. Дешифратор обрабатывает преобразование конфигурационного файла в исполняемый файл ELF, в то время как jar-файл облегчает загрузку дополнительных вредоносных компонентов.

Промежуточный исполняемый файл, сгенерированный исходным файлом, обеспечивает сохранение в зараженной системе путем автономной загрузки и расшифровки файла конфигурации. Этот файл, идентифицированный как вариант вредоносной программы DISGOMOJI, устанавливает связь с облачными сервисами Google для загрузки данных. Кроме того, последовательность атаки включает загрузку шпионского плагина для браузера и средства удаленного управления MeshAgent для постоянного наблюдения и контроля за устройством жертвы.

Стратегия APT-C-56 включает запись конфигураций в ".bashrc" для облегчения загрузки и выполнения полезной нагрузки с Google Диска с помощью команды "java -jar". Вредоносная программа также использует облачную платформу Google в качестве инфраструктуры управления (C2), используя информацию о ключе учетной записи сервиса для целей аутентификации. Эта тактика не только подчеркивает предпочтение группы менее заметным методам доставки полезной нагрузки через облачные сервисы, но и иллюстрирует эволюцию их тактики, методов и процедур (TTP) с уделением большего внимания системам Linux, которые преобладают среди их основных целей — индийских военных и правительственных служащих. Кроме того, обновления в версии DISGOMOJI отражают переход от предыдущих методов коммуникации, таких как Discord, к более интегрированным и потенциально менее обнаруживаемым облачным сервисам Google.

#ParsedReport #CompletenessLow
11-06-2025

The Evolution of Linux Binaries in Targeted Cloud Operations

https://unit42.paloaltonetworks.com/elf-based-malware-targets-cloud/

Report completeness: Low

Actors/Campaigns:
Winnti
Nuclear_taurus
Cloud_snooper (motivation: cyber_criminal, cyber_espionage)
Daggerfly
Sandworm

Threats:
Nood_rat
Tinyshell
Rekoobe_rootkit
Sshdinjector
Pygmy_goat
Acidpour
Acidrain
Dynamic_linker_hijacking_technique

Victims:
Entities, Organizations, Individuals, Government agencies, Suppliers, Non-governmental organizations, Healthcare entities, Transportation sector entities, Government institutions, Telecommunications organizations, have more...

Industry:
Healthcare, Ngo, Government, Transport, Telco

Geo:
China, Asia-pacific, Asia, Thailand, Japan, Australia, Taiwan, Middle east, India, Malaysia, Russian

CVEs:
CVE-2022-1040 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos sfos (le18.5.3)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.004, T1053.003, T1055.001, T1059.001, T1059.004, T1059.005, T1078, T1090.002, T1204.002, have more...

Soft:
Linux

Languages:
visual_basic, powershell

Platforms:
x86, mips

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NoodleRAT - это вредоносная программа-бэкдор, нацеленная на Windows и Linux, связанная с китайскими хакерами и использующая исполняемые файлы ELF. Растущая распространенность вредоносного ПО ELF в облачных инфраструктурах создает значительные риски, поскольку для скрытого управления используются такие методы, как перехват динамического компоновщика, а также уязвимости, такие как CVE-2022-1040. AcidRain и AcidPour - это разновидности вредоносных программ wiper, которые связаны с российскими субъектами и воздействуют на различные системы, включая облачные среды.
-----

NoodleRAT, бэкдор, имеющий варианты как для Windows, так и для Linux, известен своей версией Linux на базе ELF. Хотя его дизайн имеет сходство с другими вредоносными программами для бэкдоров Linux, такими как Rekoobe и Tiny SHell, он был классифицирован как уникальное семейство вредоносных программ. Linux-версия NoodleRAT была связана с китайскими хакерами, включая Starchy Taurus group (также известную как Winnti Group и BARIUM) и Nuclear Taurus. Вредоносная программа работает с помощью двух основных компонентов: основного исполняемого файла ELF (libxselinux) и динамической библиотеки (libxselinux.so).

Исследователи Unit 42 заметили тревожную тенденцию в области облачной безопасности, когда хакеры все чаще используют файлы ELF для атаки на облачную инфраструктуру. Эти двоичные файлы ELF содержат целый ряд типов вредоносных программ, включая бэкдоры, дропперы, трояны удаленного доступа (RAT) и деструктивные инструменты. Недавние исследования выявили пять основных семейств вредоносных программ на базе ELF, которые демонстрируют значительные обновления, что указывает на активное использование в облачных средах, на долю которых приходится значительная часть облачной инфраструктуры, основанной на версиях ОС Linux.

Эволюция вредоносного ПО ELF создает уникальные проблемы, поскольку злоумышленники могут легко воспользоваться широко распространенным использованием Linux в облачных операциях. Эта адаптивность позволяет им внедрять такие хорошо зарекомендовавшие себя семейства, как NoodleRAT и другие, такие как Winnti, SSHdInjector, Pygmy Goat и AcidPour. Эти вредоносные программы обычно используют динамический взлом компоновщика, используя переменную среды LD_PRELOAD для внедрения вредоносного кода в законные процессы и получения критически важного доступа к службам Linux, таким как SSH. Этот метод помогает поддерживать скрытые каналы управления (C2), обеспечивает постоянство и облегчает эксфильтрацию или уничтожение данных.

Среди них SSHdInjector не только обеспечивает постоянный доступ, ориентируясь на SSH-демона, но и связан с участниками APT, участвующими в кибершпионаже. Другой пример, Pygmy Goat, использует руткит-механизм в сочетании с использованием уязвимостей (например, CVE-2022-1040) для эффективного управления SSH-коммуникациями. Его связь может осуществляться с помощью специализированных ICMP-пакетов, что расширяет возможности скрытой работы.

Кроме того, AcidRain и его производная, AcidPour, представляют собой вредоносное ПО для Linux wiper, связанное с российским хакером, уничтожившим Ursa. AcidRain нацелен на устройства с архитектурой MIPS, в то время как AcidPour разработан для систем x86, воздействуя на более широкий спектр целей, включая облачные системы, посредством самоуничтожения после атаки.

#ParsedReport #CompletenessHigh
11-06-2025

Proactive OT security: Lessons on supply chain risk management from a rogue Raspberry Pi

https://www.darktrace.com/blog/proactive-ot-security-lessons-on-supply-chain-risk-management-from-a-rogue-raspberry-pi

Report completeness: High

Actors/Campaigns:
Fancy_bear (motivation: cyber_criminal)
Muddywater (motivation: cyber_criminal)

Threats:
Supply_chain_technique
Watering_hole_technique
Havex_rat
Teamviewer_tool
Lolbin_technique
Mitm_technique
Clickfix_technique
Aitm_technique
Spear-phishing_technique
Fakecaptcha_technique
Xworm_rat
Lumma_stealer
Asyncrat

Victims:
National health service, Semiconductor manufacturer

Industry:
Ics, Critical_infrastructure, Transport, Entertainment, Energy, Government, Foodtech, Semiconductor_industry, Healthcare

Geo:
Russia, Africa, Iran, Middle east, Emea

TTPs:
Tactics: 1
Technics: 12

IOCs:
IP: 12
Domain: 3
Hash: 2

Soft:
Raspberry Pi

Algorithms:
sha1, sha256

Languages:
swift, php, powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сети ICS было обнаружено вредоносное устройство Raspberry Pi, что выявило уязвимости в цепочке поставок. Злоумышленники теперь чаще используют внутренние уязвимости, используя передовые методы, такие как ClickFix, для утечки данных, которые часто поддерживаются такими группами, как APT28 и MuddyWater. Организациям необходимо укреплять свои стратегии кибербезопасности, чтобы противостоять как внутренним, так и внешним угрозам.
-----

Поставщик оставил вредоносное устройство Raspberry Pi в сети ICS клиента, что выявило уязвимости в цепочке поставок. Исторические инциденты, связанные со взломом программного обеспечения для обслуживания, такие как атака на Havex Watering Hole в 2014 году и взлом полупроводниковой системы в 2018 году, демонстрируют риски для ICS. Злоумышленники все чаще используют внутренние уязвимости в средах ICS, а не полагаются исключительно на внешние угрозы. Устройства Raspberry Pi создают проблемы безопасности в системах SCADA, поскольку они используются для атак через USB и утечки данных. Анализ Darktrace выявил потенциальные риски, связанные с неправильными метаданными в зашифрованных соединениях, связанных с этими устройствами. Инцидент с TeamViewer в 2021 году продемонстрировал опасность бездействующих приложений в критически важной инфраструктуре. Производственные отрасли становятся все более уязвимыми из-за их способности к сбоям, что требует более строгого соблюдения требований и обеспечения безопасности в рамках таких инициатив, как Директива ЕС NIS2. Законопроект о кибербезопасности и отказоустойчивости в Великобритании направлен на модернизацию правил кибербезопасности, расширяя надзор за поставщиками услуг связи и центрами обработки данных. Использование ClickFix - это продвинутый метод борьбы с угрозами, который использует социальную инженерию для манипулирования пользователями с целью выполнения вредоносного кода. хакеры, такие как APT28 и MuddyWater, используют тактику ClickFix, обычно начиная с фишинга или поддельных запросов на ввод капчи, которые приводят к вредоносным командам PowerShell. Расследования показали, что атаки с использованием ClickFix часто приводят к перемещению по сетям и взаимодействию с серверами C2, что усиливает уровень угроз. Организации должны адаптировать стратегии кибербезопасности для снижения рисков, связанных как с новыми внутренними угрозами, так и с угрозами цепочки поставок.

#ParsedReport #CompletenessMedium
11-06-2025

APT PROFILE MISSION2025

https://www.cyfirma.com/research/apt-profile-mission2025/

Report completeness: Medium

Actors/Campaigns:
Winnti (motivation: cyber_espionage, financially_motivated)
Axiom
Brazenbamboo
Sparklinggoblin
Unc5221

Threats:
Mana_tool
Passcv
Lowkey
Gh0st_rat
Meterpreter_tool
Blackcoffee
Messagetap_tool
Crackshot_tool
Easynight
Derusbi
Hdroot
Frontwheel
X-door
Aspxspy_shell
Dirtcleaner
Hkdoor
Credential_stealing_technique
Biopass_rat
Cobalt_strike_tool
Acehash
Highnote
Plugx_rat
Pwdump_tool
Poisonplug
Lifeboat
Mimikatz_tool
Potroast
Jumpall
Widetone
Chinachopper
Redxor_backdoor
Zxshell
Coldjava
Crosswalk
Ntdsdump
Rockboot
Winterlove
Deadeye
Pipemon
Tidyelf
Shadowpad
Highnoon
Latelunch
Sagehire
Deepdata
Speculoos
Privatelog
Cunningpigeon
Shadowgaze
Njrat
Windjammer
Unapimon
Deathlotus
Moonbounce
Winnkit
Wyrmspy
Toughprogress
Dragonegg
Dustpan
Lightspy
Spear-phishing_technique
Sliver_c2_tool
Krustyloader
Voldemort
Dusttrap
Plusdrop
Plusinject
Process_injection_technique
Process_hollowing_technique
Dllsearchorder_hijacking_technique
Dynamic_linker_hijacking_technique
Dll_sideloading_technique

Victims:
Over 40 industries, Government entities, Critical infrastructure, High-level government departments

Industry:
Telco, Critical_infrastructure, Transport, Government

Geo:
China, Chinese, Taiwan, Japan, India, Asian, Asia

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0 firmware (<2.7.0)

CVE-2025-4428 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint manager mobile (<11.12.0.5, <12.3.0.2, <12.4.0.2, 12.5.0.0)

CVE-2017-0147 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1511 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 7 (-)
- microsoft windows 8.1 (-)
have more...
CVE-2025-4427 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint manager mobile (<11.12.0.5, <12.3.0.2, <12.4.0.2, 12.5.0.0)

CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 5
Technics: 25

IOCs:
File: 3

Soft:
Ivanti EPMM, Ivanti, InfinityFree, TryCloudflare, Windows Service

Algorithms:
zip

Win Services:
BITS

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа APT41, спонсируемая китайским государством, использует передовые тактики для кибершпионажа и финансовых атак, используя вредоносное ПО, такое как "TOUGHPROGRESS", и такие уязвимости, как CVE-2025-4427 и CVE-2025-4428. Их операции включают в себя методы уклонения от ответственности и постоянство в сетях, нацеленных на критически важную инфраструктуру и государственные секторы.
-----

APT41, также известная как MISSION2025, - это спонсируемая китайским государством группа APT, которая работает по меньшей мере с 2012 года. Группа занимается кибершпионажем и атаками на финансовые цели, используя сложные методы, нацеленные на широкий спектр отраслей по всему миру. Их деятельность согласована с экономической стратегией Китая, в частности с инициативой "Сделано в Китае к 2025 году", в которой особое внимание уделяется краже интеллектуальной собственности и корпоративному шпионажу.

В последнее время тактика APT41 включала использование варианта вредоносного ПО под названием "TOUGHPROGRESS", который известен своим механизмом управления и контроля (C2). Это вредоносное ПО использует Google Calendar для эффективного взаимодействия со своими операторами. Изначально вредоносная программа отправлялась с помощью фишинговых электронных писем, содержащих ссылки на ZIP-файлы на взломанных правительственных сайтах, а затем запускала замаскированные файлы, внедряя зашифрованные командные данные в описания событий календаря. Это позволяет APT41 избегать обнаружения, поскольку сообщения C2 имитируют законный трафик облачных сервисов.

В дополнение к инновационному использованию облачных сервисов для C2, APT41 использовала уязвимости в Ivanti Endpoint Manager Mobile (EPMM), идентифицированные как CVE-2025-4427 и CVE-2025-4428, позволяющие создавать обратные оболочки и развертывать дополнительные полезные приложения, включая KrustyLoader, который интегрирует Sliver. Фреймворк C2. Их последовательное использование уязвимостей, с которыми сталкивается общественность, подчеркивает их основную стратегию получения первоначального доступа.

APT41 также демонстрирует тенденцию поддерживать постоянный доступ к конфиденциальным сетям в течение длительных периодов времени, например, почти двух лет, в правительственном департаменте Юго-Восточной Азии, с целью получения конкретных разведданных, связанных с геополитическими проблемами, такими как Южно-Китайское море. Их недавняя ориентация на критически важные объекты инфраструктуры и государственные секторы свидетельствует о развитии стратегии, в соответствии с которой они все больше сосредотачиваются на важных целях, особенно в США и Европе.

Отличительной чертой методологии APT41 являются изощренные методы обхода. Они используют выполнение в оперативной памяти, модульную разработку вредоносных программ и передовые методы социальной инженерии для обеспечения успешных атак. Внедрение механизмов Windows CLFS и манипулирования транзакциями NTFS свидетельствует о том, что они сосредоточены на обходе традиционных мер безопасности. Наряду с модульной конструкцией, такие семейства вредоносных программ, как PLUSDROP и PLUSINJECT, обеспечивают гибкость в развертывании и позволяют масштабировать атаки по мере необходимости.

#ParsedReport #CompletenessMedium
11-06-2025

Cato CTRL Threat Research: Uncovering Nytheon AI A New Platform of Uncensored LLMs

https://www.catonetworks.com/blog/cato-ctrl-nytheon-ai-a-new-platform-of-uncensored-llms/

Report completeness: Medium

Threats:
Wormgpt_tool
Blackhatgpt_tool
Fraudgpt_tool
Ghostgpt_tool
Spear-phishing_technique
Polymorphism_technique
Hellcat
Prokyc_tool

Industry:
Entertainment, Energy, Government, Critical_infrastructure

Geo:
Russian, Israel

ChatGPT TTPs:
do not use without manual check
T1059.001, T1140, T1518.001, T1566.001, T1583.001, T1587.001, T1595.002, T1598, T1608.001

IOCs:
Url: 1
File: 3

Soft:
Nytheon AI, Telegram, DeepSeek, Ollama, Hugging Face, OpenAI, SvelteKit, Nytheon AI Telegram

Functions:
REST

Languages:
typescript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Nytheon AI - это незаконная платформа в даркнете, используемая хакерами и использующая нецензурируемые большие языковые модели для вредоносных действий, таких как фишинг и распространение вредоносных программ. Ее надежная архитектура позволяет быстро генерировать контент и выполнять автоматизированные атаки, что создает уникальные проблемы для защиты кибербезопасности.
-----

Платформа искусственного интеллекта Nytheon стала изощренным инструментом, используемым хакерами, которые используют нецензурируемые большие языковые модели (LLM) в незаконных целях. Платформа работает в даркнете, доступ к ней в основном осуществляется через Tor, а общение - через каналы Telegram. Она объединяет несколько LLM с открытым исходным кодом, у которых были отменены меры безопасности, и предлагает набор инструментов для вредоносной деятельности. На основе лингвистического анализа сообщений, связанных с платформой, предполагается, что среди операторов есть русскоязычный человек из постсоветского региона.

Nytheon AI создан на основе множества контрольных точек с открытым исходным кодом, упакованных в формат GGUF для упрощения развертывания. Наиболее заметной моделью в рамках этой архитектуры является Nytheon Coder с 18,4 миллиардами параметров MoE (набор экспертов), созданный на основе Llama 3.2 от Meta и предназначенный для высокопроизводительной генерации креативного текста. В дополнение к этому, Nytheon GMA обеспечивает многоязычную обработку текста, в то время как Nytheon Vision предоставляет возможности обработки изображений, что имеет решающее значение для таких задач, как анализ фишингового контента. Другие модели пакета расширяют его функциональность для решения конкретных задач, таких как логические рассуждения и генерация кода, адаптированного для сценариев быстрого использования.

Обновления платформы демонстрируют быстрый цикл разработки, благодаря функциям, которые поддерживают мультимодальный доступ к данным (включая распознавание текста и голоса) и возможность выполнения внешних команд с помощью интеграции OpenAPI. Эта платформа позволяет платформе генерировать вредоносный контент и реагировать на него практически мгновенно. Эти модели предварительно настроены на игнорирование протоколов безопасности, что повышает их полезность для хакеров, стремящихся проводить автоматизированные атаки, такие как фишинг и распространение вредоносных программ.

Технические компоненты указывают на то, что Nytheon AI работает как хорошо сконструированное SaaS-приложение, предназначенное для облегчения взаимодействия с пользователем и маскирующее свои незаконные намерения за фасадом законных операционных возможностей. Такой подход не только повышает эффективность, но и ставит перед защитниками уникальные задачи, требующие применения стратегий, выходящих за рамки простого блокирования самих платформ. Организации должны сосредоточиться на повышении осведомленности и контроле над потенциальными угрозами, создаваемыми сложными и разнообразными результатами, которые может генерировать Nytheon AI.

Таким образом, платформа искусственного интеллекта Nytheon знаменует собой значительную эволюцию в среде хакеров, где конвергенция технологий искусственного интеллекта позволяет хакерам эффективно и в больших масштабах организовывать широкий спектр вредоносных действий.

#ParsedReport #CompletenessMedium
11-06-2025

ConnectWise ScreenConnect Attacks: Continued Surge in RMM Tool Abuse

https://www.cyberproof.com/blog/connectwise-screenconnect-attacks-continued-surge-in-rmm-tool-abuse/

Report completeness: Medium

Actors/Campaigns:
Unc5952 (motivation: financially_motivated)

Threats:
Screenconnect_tool
Chainverb
Spear-phishing_technique

Victims:
Connectwise, Global financial organizations

Geo:
Brazilian

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1071.001, T1087, T1105, T1113, T1204.002, T1219, T1553.002, T1566.001, have more...

IOCs:
Email: 1
Url: 1
File: 3
Hash: 162
Domain: 6
IP: 1

Algorithms:
sha1, md5, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость в ConnectWise ScreenConnect (версии 23.9.7 и более ранних) была связана с фишинговыми кампаниями хакерской группы UNC5952, использующей загрузчик CHAINVERB для атак на финансовые учреждения. CHAINVERB использует цифровые подписи в исполняемых файлах Windows и скрытые URL-адреса C2 для выполнения полезной нагрузки, что указывает на скоординированный подход к атаке. Организациям настоятельно рекомендуется обновить программное обеспечение и усилить меры безопасности для снижения рисков.
-----

13 февраля 2024 года независимый исследователь сообщил о существенной уязвимости в ConnectWise ScreenConnect версий 23.9.7 и более ранних в рамках программы раскрытия уязвимостей ConnectWise. Позже эта уязвимость была связана с инцидентами в сфере кибербезопасности, которые произошли в мае 2025 года, когда были обнаружены вредоносные программы, связанные с бэкдором CHAINVERB, вероятно, управляемые хакерской группой UNC5952. Эти дропперы использовались в фишинговых кампаниях, нацеленных на глобальные финансовые организации, где злоумышленники использовали темы электронной почты, связанные со счетами, чтобы заманить жертв.

CHAINVERB работает как загрузчик, использующий цифровые подписи в исполняемых файлах Windows. Расследования выявили тревожную тенденцию, когда вредоносные программы, используемые хакерами, обычно используют домены верхнего уровня или dns.net TLD в своих кампаниях. Загрузчик CHAINVERB использует встроенный URL-адрес управления (C2), тщательно скрытый в его цифровом сертификате, для извлечения и выполнения последующих полезных загрузок. Связи с инструментом удаленного доступа ConnectWise Control подразумевают, что после заражения систем злоумышленники могут инициировать удаленные сеансы связи с их инфраструктурой C2, что позволяет проводить внутреннюю разведку и потенциально получать конфиденциальную информацию, такую как снимки экрана.

Свидетельством недавних инцидентов стало фишинговое электронное письмо, отправленное с узнаваемого адреса, содержащее вредоносный PDF-файл со ссылкой, которая вела к загрузке троянского исполняемого файла, подписанного ConnectWise. Домены категории C2, обнаруженные в ходе этих операций, такие как kasin22.anondns.net и yertoje.uzhelp.top, свидетельствуют о скоординированном и целенаправленном подходе к финансовым учреждениям. Кроме того, в ходе расследования была обнаружена вредоносная веб-страница, выдававшая себя за службу поддержки клиентов, которая способствовала загрузке и выполнению вредоносных дропперов CHAINVERB.

Для противодействия этим угрозам организациям рекомендуется перейти на исправленные версии ScreenConnect и внедрить надежные меры безопасности. Лучшие методы снижения рисков включают блокировку фишинговых сообщений электронной почты, аудит средств удаленного доступа, проверку журналов выполнения на наличие аномалий и применение средств контроля приложений для управления выполнением только авторизованного программного обеспечения. Кроме того, организации должны информировать пользователей о рисках взаимодействия с подозрительным контентом и усиливать соответствующие действия в ответ на попытки фишинга. Эти превентивные меры направлены на минимизацию потенциального ущерба от таких целенаправленных киберкампаний.

#ParsedReport #CompletenessLow
11-06-2025

Tracing Silver Fox The Winos 4.0 Campaign Behind Operation Holding Hands

https://somedieyoungzz.github.io/posts/silver-fox/

Report completeness: Low

Actors/Campaigns:
Silver_fox (motivation: cyber_espionage)

Threats:
Winos
Uac_bypass_technique

Victims:
Japanese users

Geo:
Taiwan, Chinese, China, Japan, Japanese

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1027, T1036.005, T1055, T1056.001, T1059.003, T1071.001, T1083, T1105, have more...

IOCs:
File: 13
Path: 2
IP: 5

Soft:
Discord, Twitter

Algorithms:
zip

Functions:
TaskServer

Win API:
WriteFile, LoadLibrary, CreateProcessW, ShellExecuteExA, CoInitialize, CoCreateInstance, GetModuleFileNameA, CreateFileA, ReadFile, VirtualFree, have more...

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО, использующее украденные цифровые подписи, нацелено на японских пользователей с помощью фишинга, используя бэкдор с проверкой повышенных привилегий и методами обфускации. Он взаимодействует с сервером C2, подключенным к вредоносному ПО "Winos 4.0", связанному с китайской группой "Silver Fox", что указывает на продолжающуюся шпионскую деятельность.
-----

Авторы вредоносных программ все чаще используют законные цифровые подписи, чтобы избежать обнаружения и повысить доверие пользователей. Недавний анализ был сосредоточен на образце бэкдора, известном как ".exe" (переводится как Уведомление о системе оплаты труда Revision.exe ), который распространялся через фишинговые сайты, ориентированные на японских пользователей. Эта вредоносная программа подписана украденным сертификатом от "Sid Narayanan Ltd" и является частью более широкой кампании, в которой используются различные цифровые сертификаты. Во время технической проверки с помощью PE Studio было обнаружено несколько подозрительных импортных файлов, указывающих на вредоносное поведение, включая ShellExecute, WriteFile и LoadLibrary.

Пример ".exe" содержит путь к базе данных встроенной программы (PDB), что указывает на ее функциональность в качестве бэкдора. Анализ показал, что вредоносная программа инициализирует идентификатор безопасности (SID) с предопределенными значениями и проверяет, запущен ли процесс с правами администратора, что указывает на необходимость повышения привилегий. Затем она извлекает локальный каталог данных приложения и создает в нем подкаталог с именем "a". Создается ZIP-файл 'a.zip', в котором полезная нагрузка перед записью на диск обфускируется с помощью многобайтового преобразования, основанного на фиксированном ключе в памяти.

Бэкдор предназначен для запуска другого исполняемого файла, "Run.exe", из указанного каталога с определенными параметрами запуска, чтобы обеспечить чистое выполнение. Он использует такие методы, как CreateProcessW, и использует ShellExecuteExA, чтобы обойти контроль учетных записей пользователей (UAC) для повышения привилегий, когда это необходимо. Вредоносная программа поддерживает связь со своим командно-контрольным сервером (C2), ежеминутно отправляя импульсные пакеты для подтверждения подключения.

Дальнейшее расследование установило связь между IP-адресом сервера C2 и вредоносной программой "Winos 4.0", нацеленной преимущественно на пользователей на Тайване, и данными, указывающими на то, что она также нацелена на Японию. Платформа Winos 4.0, известная своей причастностью к недавней шпионской деятельности на китайском языке, была связана с китайской хакерской группой, известной как "Silver Fox". Охранные фирмы подтвердили эту связь, подчеркнув характеристики вредоносного ПО и его оперативную связь с китайской киберпреступностью. Примечательно, что наряду с китайским аналогом был замечен инструмент удаленного доступа с совпадающими идентификаторами, что подчеркивает обширный спектр угроз, создаваемых этим вредоносным ПО.