#ParsedReport #CompletenessLow
14-06-2025

Fog Ransomware: Unusual Toolset Used in Recent Attack

https://www.security.com/threat-intelligence/fog-ransomware-attack

Report completeness: Low

Threats:
Fog_ransomware
Adaptixc2_tool
Stowaway_tool
Smbexec_tool
Megasync_tool
Cobalt_strike_tool
Impacket_tool

Victims:
Financial institution, Educational institutions

Geo:
Asia

ChatGPT TTPs:
do not use without manual check
T1003, T1021.001, T1021.002, T1048, T1059, T1070.004, T1071, T1071.001, T1078, T1082, have more...

IOCs:
Command: 6
File: 7
Path: 4
Hash: 18
IP: 2
Domain: 1

Soft:
Twitter, Microsoft SharePoint, PsExec, Sysinternals

Platforms:
x86

Links:
https://github.com/Adaptix-Framework/AdaptixC2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года программа-вымогатель Fog ransomware атаковала финансовое учреждение в Азии, используя для мониторинга Syteca, а также редкие инструменты с открытым исходным кодом, такие как GC2 и Adaptix. Злоумышленники сохраняли работоспособность сети в течение двух недель до развертывания, используя скомпрометированные серверы Exchange и средства последующей эксплуатации для утечки данных, горизонтального перемещения и командно-контрольных функций. Этот инцидент отражает тенденцию, когда атаки программ-вымогателей пересекаются с тактикой шпионажа.
-----

В мае 2025 года программа-вымогатель атаковала финансовое учреждение в Азии с помощью программы-вымогателя Fog. В ходе атаки использовался уникальный набор инструментов, включая инструменты двойного назначения и тестирования на проникновение с открытым исходным кодом, такие как Syteca, которая является законным программным обеспечением для мониторинга сотрудников. Это стало первым документально подтвержденным случаем использования Syteca при атаке программ-вымогателей. Также использовались инструменты с открытым исходным кодом GC2, Adaptix и Stowaway, что указывает на неортодоксальный подход к работе с программами-вымогателями. Злоумышленники продемонстрировали нетипичное поведение, отфильтровав данные и сохранив работоспособность в течение примерно двух недель, прежде чем развернуть программу-вымогатель Fog. Было задействовано как минимум два скомпрометированных сервера Exchange, которые являются обычными целями для программ-вымогателей, использующих известные уязвимости. GC2 использовался для отправки команд и извлечения файлов, поиска команд на Google Диске или в Microsoft SharePoint и управления передачей файлов. Syteca регистрировала действия на экране и нажатия клавиш как ‘sytecaclient.exe" и "update.exe’. Боковое перемещение было облегчено с помощью PsExec и SMBExec, а для архивирования конфиденциальных данных были развернуты утилиты передачи файлов FreeFileSync и MegaSync. Для функций управления использовался маяк Adaptix C2 Agent Beacon. Использование Impacket SMB tool в день активации программы-вымогателя позволяет предположить, что это способствовало развертыванию программы-вымогателя. Атака продемонстрировала признаки, указывающие на шпионские мотивы, наряду с развертыванием программы-вымогателя, с возможностью использования программы-вымогателя в качестве отвлекающего маневра при преследовании шпионских целей.

#ParsedReport #CompletenessLow
14-06-2025

Decoding DarkComets (RAT) Shadow

https://cyberint.com/blog/threat-intelligence/decoding-darkcomets-rat-shadow/

Report completeness: Low

Threats:
Darkcomet_rat

Geo:
Syrian

TTPs:
Tactics: 9
Technics: 11

Soft:
Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DarkComet - это троян удаленного доступа (RAT), который позволяет злоумышленникам удаленно управлять зараженными системами, извлекать конфиденциальные данные и устанавливать дополнительные вредоносные программы. Он использует тактику обмана для распространения и действует скрытно для сбора информации, регистрации нажатий клавиш и использования личных данных, создавая значительные риски для организаций из-за утечки данных и шпионажа.
-----

DarkComet - это хорошо известный троян удаленного доступа (RAT), используемый для целенаправленных кибератак, позволяющий хакерам удаленно управлять компьютерами жертв. Это вредоносное ПО способно извлекать конфиденциальную информацию, выполнять вредоносные действия, устанавливать дополнительное вредоносное программное обеспечение и создавать ботнеты для таких действий, как рассылка спама. Он использует различные обманчивые стратегии распространения, в том числе маскируется под безобидные программы, использует уязвимости программного обеспечения и поставляется в комплекте со свободным программным обеспечением, что облегчает его проникновение в ничего не подозревающие системы.

После установки на компьютер жертвы DarkComet работает скрытно, собирая обширную информацию о системе, активных пользователях и сетевых действиях. Он может отключать критически важные системные функции, регистрировать нажатия клавиш, получать доступ к веб-камерам и микрофонам, а также использовать сохраненные персональные данные, такие как учетные данные пользователя. Эти характеристики делают DarkComet особенно опасным и эффективным средством для утечки данных, поскольку он может незаметно передавать собранную информацию указанному злоумышленником адресату.

Последствия DarkComet серьезны для организаций, они приводят к утечке данных, потенциальным финансовым потерям и сбоям в операционных процессах. Его способность осуществлять шпионаж посредством тайного сбора конфиденциальной информации может привести к значительному ущербу репутации и повысить уязвимость к будущим изощренным атакам. Вредоносная программа получила особую известность благодаря своему использованию в целевых операциях во время гражданской войны в Сирии в 2011 году, что подчеркивает ее использование в сценариях кибервойны с высокими ставками. Таким образом, DarkComet остается мощной угрозой в киберпространстве, во многом благодаря своему универсальному вектору атаки и широкому контролю, который он предоставляет хакерам.

#ParsedReport #CompletenessLow
14-06-2025

Malicious crypto-theft package targets Web3 developers in North Korean operation

https://www.aikido.dev/blog/malicious-package-web3

Report completeness: Low

Actors/Campaigns:
Famous_chollima

Industry:
Financial

Geo:
North koreans, Dprk, North korean

ChatGPT TTPs:
do not use without manual check
T1027, T1041

IOCs:
File: 4
Email: 1
IP: 1

Soft:
Node.js

Functions:
super

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет web3-wrapper-ethers выдает себя за библиотеку ethers и связан с группой Void Dokkaebi, нацеленной на разработчиков криптовалют с целью кражи закрытых ключей. Злоумышленники изменили код для обфускации, а недавняя тактика включает в себя переключение с axios на node-fetch для сетевых запросов. Также были выявлены подключения к северокорейской инфраструктуре через российские IP-адреса, что усиливает их ориентацию на финансовую выгоду в криптосекторе.
-----

Недавний анализ выявил подозрительный пакет с именем web3-wrapper-ethers, который выдает себя за законную библиотеку ethers. Этот вредоносный пакет содержит запутанный код, предназначенный для кражи приватных ключей, и, как сообщается, связан с хакерской группой Void Dokkaebi, которая известна тем, что нацелена на разработчиков криптовалют с целью вывода средств из web3, блокчейна и криптовалютных проектов.

Расследование включало сравнение вредоносного пакета с последней версией ethers (6.14.7). Эта оценка показала, что злоумышленники внесли минимальные изменения; в первую очередь, они удалили комментарии и журнал отладки из кода, чтобы замаскировать свои злонамеренные намерения. Примечательно, однако, что они не исправили недопустимый URL-адрес, присутствующий в пакете, что указывает на недостаточное внимание к деталям в их работе по кодированию. Эта оплошность указывает на повторяющуюся закономерность, поскольку всего несколько месяцев назад наблюдался аналогичный инцидент, когда злоумышленники активно выпускали версии, пытаясь исправить свой ошибочный код в режиме реального времени.

Интересно, что в ходе этой последней попытки злоумышленники перешли от использования axios для сетевых запросов к использованию node-fetch. Это говорит о корректировке их тактики, что потенциально указывает на то, что они осознали предыдущие сбои. Кроме того, есть признаки корреляции с известной инфраструктурой, связанной с деятельностью северокорейских хакеров, в частности, с подключениями по протоколу удаленного рабочего стола (RDP), исходящими с российских IP-адресов. Индикаторы компрометации (IOCs), о которых сообщает TrendMicro, подтверждают эти связи. Общий способ воздействия на разработчиков, занятых в секторе криптовалют, согласуется с исторически задокументированными попытками Void Dokkaebi скомпрометировать таких людей с целью получения финансовой выгоды.

Еще чё-то умею в СКС... Запатчить, обжать по B )))))

#ParsedReport #CompletenessLow
15-06-2025

APT-Q-27s Silver Fox Operations: Additional Technical Hunt and Infrastructure Correlation

https://medium.com/@pteconway/apt-q-27s-silver-fox-operations-additional-technical-hunt-and-infrastructure-correlation-ce26bcbfef06

Report completeness: Low

Actors/Campaigns:
Silver_fox
Golden_eyed_dog
Dragon_breath
Miuuti

Threats:
Todesk_tool
Winos
Watering_hole_technique
Valleyrat

Geo:
Asia

ChatGPT TTPs:
do not use without manual check
T1053.005, T1071.001, T1105, T1189, T1195.002, T1562.001

IOCs:
IP: 19
Url: 2
File: 1

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа GoldenEyeDog (APT-Q-27) нацелена на Юго-Восточную Азию, используя троянские программы для установки программного обеспечения, чтобы распространять троянскую программу "Silver Fox" и бэкдор Winos 4.0 через оптимизированные для SEO сайты. Они используют многоступенчатые загрузчики, пользовательский шелл-код и постоянные механизмы, полагаясь на серверы C2 с IP-адресами 120.89.71.226 и 43.226.125.17.
-----

Недавнее расследование, проведенное компанией Qi Anxin, раскрыло подробности киберкампании, приписываемой группе GoldenEyeDog, также известной как APT-Q-27 или Dragon Breath group, которая связана с группой Miuuti. Этот хакер, работающий в Юго-Восточной Азии, применяет инновационные стратегии в своих последних операциях, в основном используя троянские программы для установки программного обеспечения, которые выдают себя за законные приложения, такие как ToDesk, Quicklink VPN и Paper Airplane. Целью этой кампании является распространение троянской программы "Silver Fox" вместе с бэкдором Winos 4.0.

Вредоносное ПО распространяется через оптимизированные для SEO сайты, которые напоминают страницы загрузки подлинного программного обеспечения. Такой подход не только нацелен на ничего не подозревающих пользователей, но и позволяет хакеру использовать многоступенчатые загрузчики и пользовательский шеллкод для улучшения обфускации. Предусмотрены механизмы сохранения работоспособности, в том числе использование запланированных задач и манипулирование антивирусными исключениями для закрепления на зараженных системах. Кампания поддерживается инфраструктурой, подключенной к серверам управления (C2), обозначенным как 120.89.71.226 и 43.226.125.17, при этом связь осуществляется через несколько портов, в частности 8852 и 9090.

Дальнейшее изучение инфраструктуры APT-Q-27 привело к изучению IP-адреса 143.92.60.116, который, как было замечено, подключался к порту 25448. При использовании Censys для анализа было отмечено, что этот порт был впервые введен в эксплуатацию 2 апреля 2025 года. Хотя 143.92.48.91 в настоящее время не помечен как вредоносный в VirusTotal, он связан с потенциально вредоносными URL-адресами, а именно hxxp://pdmrx.top/ и hxxp://tqnnxg.top/. Эти URL-адреса были помечены в прошлом. Кроме того, другие IP-адреса, подключенные к этой кампании, выявили различные вредоносные связи, причем некоторые адреса были частью установленных инфраструктур C2, таких как ValleyRAT.

Исследование также показало, что среди различных проверенных IP-адресов некоторые, такие как 120.89.71.130, были связаны с вредоносными действиями, в то время как другие, такие как 120.89.71.131, показали недавнюю связь с вредоносными URL-адресами. В целом, полученные аналитические данные подчеркивают хорошо организованный и многогранный подход, применяемый GoldenEyeDog group в своих кибероперациях, с особым упором на тактику социальной инженерии и сложные методы внедрения вредоносных программ. Этот меняющийся ландшафт угроз требует постоянного мониторинга и анализа для эффективного снижения рисков, связанных с такими APT.

#ParsedReport #CompletenessMedium
15-06-2025

Unmasking the Infrastructure of a Spearphishing Campaign

https://censys.com/blog/unmasking-the-infrastructure-of-a-spearphishing-campaign

Report completeness: Medium

Actors/Campaigns:
Blindeagle

Threats:
Spear-phishing_technique
Remcos_rat
Limerat
Dcrat
Asyncrat

Geo:
Colombian, Spanish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001.003, T1027, T1027.001, T1055.012, T1059.001, T1059.005, T1071.001, T1071.004, T1090.003, T1105, have more...

IOCs:
Hash: 23
Url: 15
Domain: 15
IP: 30
File: 4

Soft:
Instagram, Twitter

Algorithms:
sha256, base64

Languages:
visual_basic, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Домен "trabajonuevos.duckdns.org" связан с Remcos RAT, который использует запутанные VBS-капельницы в трехэтапном процессе установки, чтобы избежать обнаружения. Связанный с группой APT-C-36, он использует динамический DNS для своей инфраструктуры C2, загружая несколько RAT, включая LimeRAT и DCRat, из разных хранилищ, что указывает на скоординированную кампанию подводного фишинга.
-----

Домен "trabajonuevos.duckdns.org" связан с троянцем Remcos Remote Access (RAT) и разрешен только для одного IP-адреса, 45.133.180.26, через TCP-порт 3010. Не было замечено, чтобы этот хост активно прослушивал этот порт, что позволяет предположить, что он может быть частью VPN или службы переадресации портов, связанной с "torguard.net". Несмотря на отсутствие активного слушателя, он взаимодействует с пятью различными дропперами Visual Basic Script (VBS) с обфускацией Stage 1, которые извлекают полезную нагрузку Remcos из различных репозиториев Bitbucket.

Эти сценарии VBS работают в рамках трехэтапного процесса установки. На этапе 1 запутанный VBScript генерирует сценарий PowerShell, который расшифровывает полезную нагрузку Base64. На этапе 2 этот сценарий PowerShell загружает дополнительные компоненты, включая модуль ввода памяти и RAT. Наконец, на этапе 3 инжектор загружает RAT в память. Злоумышленники использовали различные методы для маскировки своих файлов VBS, которые образуют кластер из 16 открытых каталогов, что указывает на сложные методы уклонения от обнаружения. Разнообразие загрузчиков второго этапа привело к загрузке нескольких RAT, включая LimeRAT, DCRat, AsyncRAT и, в первую очередь, Remcos, причем двоичные файлы обычно размещаются в репозиториях paste.ee или Bitbucket.

Инфраструктура командно-диспетчерского управления (C2) основана на "duckdns.org" динамической системе DNS для ротации IP-адресов, с предложениями, указывающими на потенциальные связи с колумбийской хакерской группой APT-C-36, также известной как Blind Eagle. Примеры деятельности этой группы наглядно демонстрируют сильно запутанные капельницы VBS и устоявшиеся схемы использования широко известных вариантов RAT.

В ходе отдельных исследований были выявлены дополнительные домены, связанные с Remcos и различными RATs, каждый из которых имеет свою инфраструктуру и командные протоколы. Например, домен "rem25rem.duckdns.org" работает аналогично, но обменивается данными через TCP-порт 1515, связанный с несколькими IP-адресами, которые были обнаружены с помощью согласованного TLS-отпечатка на нескольких хостах.

Многократное использование VBS на этапе 1 приводит к различным RAT, в качестве примечательных примеров можно привести DCRat, размещенный на "dgflex.duckdns.org", и AsyncRAT, связанный с доменом "purelogs2025.duckdns.org". Это свидетельствует о более широкой кампании подводной охоты, что подтверждается использованием сильно запутанных скриптов и устоявшимися схемами развертывания RAT. Наблюдаемая инфраструктура, по-видимому, обладает общими эксплуатационными характеристиками, указывающими на скоординированный подход, который, вероятно, поддерживается APT-C-36 или аналогичными группами, что свидетельствует об активных, продолжающихся хакерских кампаниях с участием нескольких RAT.

#ParsedReport #CompletenessMedium
16-06-2025

Tycoon 2FA: An Evolving Phishing Kit Powering PhaaS Threats

https://socradar.io/tycoon-2fa-an-evolving-phishing-kit-phaas-threats/

Report completeness: Medium

Actors/Campaigns:
Saad_tycoon

Threats:
Tycoon_2fa
Dadsec_tool
Aitm_technique
Qshing_technique
Spear-phishing_technique

Victims:
Microsoft 365 users, Gmail users, Wordpress users, Company employees, Organizations

Industry:
E-commerce

TTPs:
Tactics: 6
Technics: 10

IOCs:
Domain: 1

Soft:
Gmail, Telegram, WordPress

Crypto:
bitcoin

Algorithms:
aes

Win Services:
bits

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2023 года появился набор для фишинга "как услуга" Tycoon 2FA, предназначенный для пользователей Microsoft 365 и Gmail с помощью атак "Противник посередине", которые крадут сеансовые файлы cookie, позволяя злоумышленникам обходить MFA. Используя сложные методы фишинга и частые обновления для уклонения, он использует более 1200 идентифицированных доменов и включает в себя динамическую проверку отпечатков пальцев в браузере и шифрование для повышения эффективности защиты от обнаружения.
-----

Tycoon 2FA - это сложный набор для фишинга как услуги (PhaaS), появившийся в августе 2023 года, позволяющий злоумышленникам обходить многофакторную аутентификацию (MFA) путем кражи сессионных файлов cookie у жертв. Этот набор предназначен в первую очередь для пользователей Microsoft 365 и Gmail и использует метод "Противник посередине" (AitM). Используя обратный прокси-сервер, Tycoon 2FA перехватывает процесс входа в систему, создавая убедительную видимость надежных сервисов, в которых жертвы неосознанно вводят свои учетные данные и коды MFA. Ключом к его функциональности является кража сессионных файлов cookie, что позволяет осуществлять несанкционированный доступ без необходимости дополнительных шагов аутентификации.

Инструмент постоянно обновляется, улучшая его возможности уклонения и оперативную скрытность. Исследователи предполагают, что Tycoon 2FA использует элементы из набора для фишинга Dadsec OTT, в частности, в своей структуре и тактике. Киберпреступники, управляющие Tycoon 2FA, часто используют взломанные учетные записи электронной почты для распространения фишинговых писем, что повышает легитимность их кампаний. В период с конца октября 2023 года по март 2024 года было идентифицировано более 1200 доменов, связанных с Tycoon 2FA, что свидетельствует о его быстром распространении и доступности через такие платформы, как Telegram.

Методология атаки обычно начинается с фишинговых электронных писем, содержащих ссылки на, казалось бы, легальный контент. Жертвы, которые переходят по этим ссылкам, перенаправляются на несколько страниц, чтобы скрыть конечный адресат фишинга. Такой многоуровневый подход помогает избежать автоматического сканирования системы безопасности. Фишинговые страницы очень похожи на официальные интерфейсы входа в систему и позволяют перехватывать учетные данные и токены аутентификации. Перехватывая сессионный файл cookie после успешного входа жертвы в систему, злоумышленники могут обойти MFA и получить доступ к скомпрометированным учетным записям.

Tycoon 2FA эволюционировал и включает в себя несколько расширенных функций, в частности, динамическую проверку отпечатков пальцев в браузере, вращающиеся методы ввода капчи, позволяющие избежать обнаружения, и усовершенствованные методы обфускации, которые усложняют анализ. В недавних обновлениях было введено шифрование полезной нагрузки и специальные фишинговые страницы, которые повышают их правдоподобность за счет сопоставления логотипов и графики с фактическим поставщиком услуг жертвы. Эти адаптивные тактики демонстрируют устойчивость Tycoon 2FA к традиционным системам обнаружения на основе сигнатур.

Специалисты по кибербезопасности сталкиваются со значительными проблемами, поскольку на платформы PhaaS, такие как Tycoon 2FA, приходится все большая доля атак на учетные данные, которая, по оценкам, достигнет 50% к 2025 году. Чтобы усилить защиту от таких угроз, организациям рекомендуется внедрять системы обнаружения, основанные на поведении, для выявления аномальных действий во время сеанса, постоянно отслеживать журналы аутентификации на предмет необычных шаблонов и проводить обучение пользователей, направленное на выявление распространенных фишинговых приманок. Упреждающие меры, включающие передовые решения для обеспечения безопасности, необходимы для борьбы с развивающимися угрозами, такими как Tycoon 2FA, что подчеркивает необходимость постоянной адаптации методов обеспечения кибербезопасности.

#ParsedReport #CompletenessMedium
16-06-2025

From SambaSpy to Sorillus: Dancing through a multi-language phishing campaign in Europe

https://www.orangecyberdefense.com/global/blog/cert-news/from-sambaspy-to-sorillus-dancing-through-a-multi-language-phishing-campaign-in-europe

Report completeness: Medium

Threats:
Sambaspy
Sorillus_tool
Rattyrat
Ngrok_tool
Localtonet_tool
Smuggling_technique
Zelix_klassmaster_technique
Asyncrat
Donut

Victims:
European organizations, Entities in spain, Entities in portugal, Entities in italy, Entities in france, Entities in belgium, Entities in the netherlands

Geo:
Spain, Italy, France, Portuguese, French, Brazilian, Portugal, Spanish, Dutch, Netherlands, Belgium

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1059.005, T1059.007, T1071.001, T1082, T1140, T1204.001, T1204.002, T1497.001, have more...

IOCs:
Domain: 7
File: 4
Hash: 1

Soft:
Linux, macOS, Telegram, DropBox, Discord

Algorithms:
xor, sha256, base64, aes, zip

Languages:
java

Links:
https://github.com/skidfuscatordev/skidfuscator-java-obfuscator
have more...
https://github.com/cert-orangecyberdefense/cti/tree/main/sorillus