#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование показало, что модифицированная версия XWORM RAT, замаскированная под установщик WhatsApp, использует установщики MSI для заражения систем. Она выполняет синтетическую полезную нагрузку с помощью библиотеки DLL, которая обеспечивает постоянство и подключается к определенным серверам C2, ориентируясь на пользователей Telegram. Такое поведение указывает на потенциальную связь с китайскоязычными хакерами и ориентацию на пользователей в Восточной и Юго-Восточной Азии.
-----

Недавнее исследование установщиков MSI, связанных с Gh0stRAT и подобными RATs, такими как WinOS/ValleyRAT, выявило цепочку заражения, ведущую к появлению модифицированной версии XWORM RAT, помеченной как "whats-install.msi". Этот конкретный установщик MSI, замаскированный под законный установщик WhatsApp, был создан с использованием Advanced Installer и в основном содержит комментарии и поля на китайском языке, что позволяет предположить участие китайскоязычного хакера.

При запуске MSI инициирует два разных пути: один запускает легитимный файл xmplay.exe, что приводит к заражению XWORM, а другой - через файлы в installer.exe_1, что облегчает развертывание настольного приложения на базе Chromium, которое предположительно служит в качестве настроенного клиента WhatsApp. Процесс начинается, когда выполняется xmplay.exe, который впоследствии загружает вредоносную библиотеку DLL, известную как xmpcd.dll. Эта библиотека DLL выполняет функцию, называемую AccurateRemote(), для запуска встроенного сценария PowerShell, устанавливающего запланированную задачу со случайно сгенерированным именем для сохранения, гарантируя, что xmplay.exe запускается при входе пользователя в систему из определенного каталога.

Программа installer.exe действует как загрузчик шеллкода, тщательно считывая данные после разделителя IEND из ресурса изображений PNG и расшифровывая скрытый внутри шеллкод. Полезная нагрузка выполняется после изменения защиты памяти, что приводит к заметной задержке, позволяющей избежать процессов обнаружения. Этот шеллкод, измененный таким образом, чтобы он напоминал узнаваемый клиент XWORM RAT, сконфигурирован с двумя IP-адресами для управления (C2): 27.124.2.138:6000, который является открытым текстом, и неиспользуемым альтернативным C2, 45.125.216.54:7000.

Модифицированный XWORM демонстрирует уникальное поведение, например, функция Spread() проверяет, установлен ли Telegram на хост-системе, а не проверяет имя файла на наличие уязвимостей на USB-накопителе, как это наблюдалось в предыдущих версиях. Такое поведение потенциально указывает на целенаправленный подход к пользователям Telegram для дальнейших вредоносных целей. В сочетании с очевидным акцентом на Telegram, этот вариант имеет мьютекс с именем sKGCo7sB9Ni6uaEY и использует пользовательский механизм идентификации и отчетности Telegram.

Наблюдаемые признаки согласуются с предыдущими действиями, связанными с китайскоязычными хакерами, в частности с использованием троянских программ установки и шелл-кодов, зашифрованных с помощью Donut, для доставки полезной нагрузки. Модель распространения и цели предполагают постоянный интерес к компрометации пользователей в Восточной и Юго-Восточной Азии, при этом различные варианты адаптации можно увидеть в различных образцах XWORM, найденных в таких хранилищах, как VirusTotal.

#ParsedReport #CompletenessLow
18-06-2025

Nobitex Breach: Infostealers Expose Critical Employee Credentials in Latest Crypto Exchange Hack

https://www.infostealers.com/article/nobitex-breach-infostealers-expose-critical-employee-credentials-in-latest-crypto-exchange-hack/

Report completeness: Low

Threats:
Stealc
Redline_stealer
Amos_stealer
Allakore_rat
Lumma_stealer
Meduza
Meta_stealer
Raccoon_stealer
Vidar_stealer

Victims:
Nobitex

Industry:
Energy

Geo:
Israel, Iran, Iranian

ChatGPT TTPs:
do not use without manual check
T1005, T1056, T1078, T1539, T1543, T1557.003, T1566

Soft:
Twitter, macOS

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибератака, приписываемая группе "Gonjeshke Darande", привела к потере Nobitex exchange 81,7 миллиона долларов из-за того, что сотрудники были скомпрометированы вредоносным ПО Infostealer, которое облегчило доступ к конфиденциальным системам и перехвату сеансов. Этот инцидент подчеркивает угрозу использования уязвимостей конечных устройств инфокрадами, что требует более строгих мер безопасности и обучения сотрудников борьбе с фишингом.
-----

Недавняя кибератака на криптовалютную биржу Nobitex привела к значительным потерям в размере примерно 81,7 миллиона долларов, которые приписываются группе "Гоньешке Даранде", которая утверждает о связях с Израилем. Взлом в первую очередь затронул горячие кошельки Nobitex, вынудив биржу приостановить операции и гарантировать компенсацию пользователям, сохраняя при этом безопасность своих активов холодного хранения. Однако основные проблемы связаны с компрометацией двух сотрудников Nobitex, которые стали жертвами вредоносного ПО Infostealer, предоставившего злоумышленникам критически важный доступ к внутренним системам организации.

Исследование, проведенное компанией Hudson Rock, показало, что эти сотрудники, обладавшие значительным доступом к серверу, стали жертвами информационных кампаний, направленных на извлечение конфиденциальной информации, такой как учетные данные, история посещенных страниц и файлы cookie. Анализ, проведенный на основе журналов более чем 30 миллионов зараженных компьютеров по всему миру, показывает, что вредоносное ПО Infostealer может служить предвестником более разрушительных атак. В случае с Nobitex данные, полученные с помощью этих заражений, включали файлы cookie, используемые для перехвата сеанса, и учетные данные Jira, которые, возможно, способствовали взлому.

Этот инцидент подчеркивает актуальность угрозы, исходящей от инфокрадов, которые позволяют злоумышленникам совершать серьезные нарушения, используя уязвимости в конечных устройствах сотрудников. Такие платформы, как веб-почта и VPN, могут быть подвержены значительным уязвимостям, что позволяет киберпреступникам получать несанкционированный доступ к конфиденциальным данным и системам. Дополнительные выводы Hudson Rock указывают на то, что подобная тактика инфокрадов привела к нарушениям в других известных компаниях, таких как Jaguar Land Rover и Schneider Electric.

Взлом Nobitex служит важным напоминанием для криптовалютных бирж и организаций в целом о необходимости принятия надежных мер безопасности конечных точек, регулярного аудита учетных данных и всестороннего обучения сотрудников распознаванию попыток фишинга — вероятной начальной точки проникновения инфокрадов. Продолжающееся развитие инфокрадов представляет собой постоянный риск, подчеркивающий необходимость в бдительности и упреждающих стратегиях безопасности для защиты от таких угроз, которые могут привести к катастрофическим финансовым последствиям.

#ParsedReport #CompletenessHigh
17-06-2025

A Wretch Client: From ClickFix deception to information stealerdeployment

https://www.elastic.co/security-labs/a-wretch-client

Report completeness: High

Threats:
Clickfix_technique
Ghostpulse
Lumma_stealer
Sectop_rat
Fakecaptcha_technique
Eddiestealer
Hijackloader
Dll_sideloading_technique
Spear-phishing_technique

TTPs:
Tactics: 6
Technics: 0

IOCs:
IP: 29
Url: 5
Domain: 4
File: 7
Hash: 5

Soft:
Kibana, Telegram, Discord, Steam, Linux, Nginx, Ubuntu

Algorithms:
sha256, xor, base64, zip

Win API:
MessageBoxA, LoadLibraryExW, AmsiScanBuffer

Languages:
dotnet, javascript, powershell

Platforms:
x86

YARA: Found

Links:
https://github.com/elastic/labs-releases/tree/main/tools/ghostpulse
have more...
https://gist.github.com/xpn/e95a62c6afcf06ede52568fcd8187cc2
https://github.com/stamparm/maltrail/blob/master/trails/static/malware/sectoprat.txt

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 1, code: 11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Elastic Security Labs сообщает о росте числа кампаний по исправлению ошибок, использующих социальную инженерию для развертывания вредоносных программ, таких как GHOSTPULSE и ARECHCLIENT2. GHOSTPULSE использует многоступенчатую загрузку, запутывание и дополнительную загрузку библиотек DLL для скрытого выполнения, в то время как ARECHCLIENT2 фокусируется на краже учетных данных и использует расширенную сохраняемость с динамической инфраструктурой C2.
-----

Elastic Security Labs выявила значительное увеличение числа кампаний по исправлению кликов, в которых используются методы социальной инженерии для развертывания сложных вредоносных программ, включая трояны удаленного доступа (RAT) и вредоносные программы для кражи данных, такие как GHOSTPULSE, LUMMA и недавно появившийся ARECHCLIENT2. ClickFix, впервые обнаруженный в марте 2024 года, заставляет пользователей выполнять вредоносные команды PowerShell, маскируя их под безобидные исправления или обновления. Этот метод играет на психологических особенностях пользователей, что значительно повышает его эффективность в качестве исходного средства доступа для злоумышленников.

Метод ClickFix начинается с фишинговых страниц, имитирующих законные сервисы, такие как проверка капчи Cloudflare, где взаимодействие с пользователем инициирует запуск вредоносного ПО. Загрузчик GHOSTPULSE, в частности, представляет собой многоступенчатую полезную нагрузку, которая была усовершенствована и включает в себя модули для уклонения и обфускации. Он работает путем копирования вредоносной команды PowerShell в буфер обмена пользователя, которая при выполнении загружает и распаковывает ZIP-файл, содержащий компоненты GHOSTPULSE. Компоненты включают в себя как доброкачественные исполняемые файлы, так и вредоносные библиотеки динамической компоновки (DLL), использующие дополнительную загрузку DLL для облегчения первоначального запуска вредоносного ПО.

С момента своего появления в 2023 году GHOSTPULSE претерпел множество обновлений. Последние усовершенствования позволяют ему хранить зашифрованную полезную информацию в файлах изображений, что повышает его скрытность. Возможности вредоносного ПО включают проверку запущенных процессов, чтобы избежать обнаружения, и расшифровку информации, необходимой для работы, хранящейся в дополнительных зашифрованных файлах. В этой версии GHOSTPULSE реализована сложная методология извлечения полезной нагрузки и несколько уровней выполнения с помощью .NET-загрузчика, который подготавливает окончательную доставку полезной нагрузки.

В 2025 году число пользователей ARECHCLIENT2, также известного как SectopRAT, значительно возросло. Эта сильно запутанная вредоносная программа .NET специализируется на краже конфиденциальной информации, включая учетные данные для различных приложений. В нем используются передовые технологии обеспечения сохраняемости и создана инфраструктура управления (C2), которая позволяет удаленно управлять зараженными системами. Было установлено, что серверы C2, используемые в последних развертываниях, активно переключаются между IP-адресами в различных автономных системах для поддержания операционной безопасности.

Многоэтапная последовательность атак, подтвержденная в этих кампаниях ClickFix, подчеркивает стратегическое сочетание социальной инженерии и технического обхода. Вредоносное ПО пытается собрать обширную информацию о системах и данных, что отражает растущую изощренность злоумышленников, которые используют созданную инфраструктуру для масштабных вредоносных операций. Сосредоточенность Elastic Security на мониторинге этой активности выявляет тревожную тенденцию к росту числа таких хакеров, что вызывает повышенную необходимость проявлять бдительность в отношении этих все более сложных направлений атак.

#ParsedReport #CompletenessMedium
18-06-2025

Pickai: The Backdoor Hiding in Your AI Stack

https://blog.xlab.qianxin.com/pickai-the_backdoor_hiding_in_your_ai_stack/

Report completeness: Medium

Threats:
Pickai
Supply_chain_technique

Victims:
Rubick.ai, Amazon, The luxury closet, Hudson bay, Myntra

Industry:
E-commerce, Retail, Education

Geo:
Rwanda, America, Switzerland, Hong kong, Singapore, Egypt, Germany, Egyptian, China, India, Tanzania

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059, T1059.004, T1071.001, T1095, T1105, T1140, T1190, T1195.002, have more...

IOCs:
File: 6
IP: 3
Hash: 7

Soft:
systemd, Docker

Algorithms:
md5, xor

Languages:
javascript

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
27 мая 2025 года хакеры воспользовались уязвимостями в ComfyUI для развертывания бэкдора Pickai, который выполняет команды, открывает обратные оболочки и использует скрытую тактику, такую как подмена имени процесса. Pickai использует жестко запрограммированные серверы C2, имеет плохое шифрование и распространяется через уязвимости в цепочке поставок, что делает его важным хакером.
-----

27 мая 2025 года Национальный центр уведомлений по кибербезопасности Китая опубликовал предупреждение о многочисленных уязвимостях высокого риска в ComfyUI, которые используются хакерскими группами для проведения сетевых вторжений и утечек данных. Анализ показал, что одним из источников этих эксплойтов был IP-адрес, использующий ComfyUI для распространения исполняемых файлов ELF, замаскированных под файлы конфигурации. Эти файлы были идентифицированы как варианты бэкдора под названием Pickai, предназначенного в первую очередь для кражи конфиденциальных данных, связанных с искусственным интеллектом.

Pickai - это легкий бэкдор, разработанный на C++, способный выполнять удаленные команды и осуществлять обратный доступ к командной строке. Несмотря на свою компактность, он использует тактику скрытности на стороне хоста, такую как защита от отладки, подмена имени процесса и различные механизмы сохранения. Примечательно, что, хотя в Pickai отсутствует шифрование, он использует сетевую стратегию, включающую несколько жестко запрограммированных серверов управления (C2), обеспечивая непрерывное подключение за счет проверки доступности сервера и автоматического переключения при необходимости.

В ходе обратного проектирования было обнаружено, что один из первоначальных доменов Pickai C2, h67t48ehfth8e.com, был незарегистрирован, что привело к его приобретению исследователями, что позволило им отслеживать телеметрию из зараженных систем. Эти усилия показали, что по меньшей мере 695 серверов по всему миру были взломаны, преимущественно в США, Германии и Китае. Впоследствии злоумышленники обновили Pickai, чтобы использовать только что зарегистрированный домен, historyandresearch.com что свидетельствует о намеренном противодействии удалению домена и демонстрирует упорство злоумышленников.

Расследование показало, что образцы Pickai были размещены на платформе Rubick.ai, используемой несколькими известными брендами розничной онлайн-торговли, что указывает на потенциальную угрозу для цепочки поставок, которая может способствовать дальнейшему распространению вредоносного ПО. Члены исследовательской группы отметили, что текущие меры безопасности в первую очередь указывают на то, что образцы Pickai представляют собой общие угрозы.

Более глубокие технические характеристики Pickai показывают, что он использует уникальный процесс для сохранения и обхода стратегий, включая разнообразие названий процессов и их копирование в различные места операционной системы. Вредоносная программа может сохранять постоянство, используя как init.d, так и systemd, что позволяет ей поддерживать множество рабочих точек на скомпрометированных системах.

Связь с инфраструктурой C2 осуществляется по многоуровневой схеме синхронизации, что обеспечивает регулярное предоставление информации об устройстве и циклический характер запросов команд каждые две минуты. Протоколы включают механизмы выполнения команд и создания обратных оболочек, хотя специфика команд после инициализации остается неясной.

Таким образом, проведенный анализ Pickai показал его устойчивость, сочетающую в себе передовые методы обхода, надежные стратегии сетевого взаимодействия и значительный потенциал распространения с помощью уязвимостей в цепочках поставок. Адаптивность злоумышленников и многогранная стойкость вредоносного ПО создают серьезные проблемы для усилий по смягчению последствий в области кибербезопасности. Исследователям и сетевым администраторам рекомендуется проводить тщательные проверки и устранять все случаи Пикаи, чтобы предотвратить повторное заражение.

#ParsedReport #CompletenessLow
18-06-2025

The PolySwarm Blog

https://blog.polyswarm.io/new-chaos-rat-variants-observed

Report completeness: Low

Threats:
Chaos_rat

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1053.005, T1055, T1056.001, T1059, T1059.003, T1059.004, T1059.007, have more...

IOCs:
Hash: 10

Soft:
linux

Algorithms:
zip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Chaos RAT нацелен на системы Windows и Linux с помощью фишинговых электронных писем с вредоносными PDF-файлами, используя сложные методы распространения и обхода. Он обеспечивает многоэтапное заражение, возможности удаленного управления и включает в себя модули для майнинга криптовалют, что подчеркивает его значительный хакерский потенциал.
-----

Chaos RAT, эволюционировавшая вредоносная программа, изначально разработанная как инструмент с открытым исходным кодом, теперь нацелена как на системы Windows, так и на Linux, используя сложные методы распространения и уклонения от обнаружения. Ее основной метод распространения - фишинговые электронные письма, содержащие вредоносные вложения в формате PDF. Эти PDF-файлы используют взаимодействие с пользователем; когда пользователи переходят по встроенным ссылкам, они запускают загрузку вредоносного ПО.

В системах Windows Chaos RAT начинает свое внедрение с файла JavaScript, который загружает ZIP-архив, содержащий скрипт BAT. Этот скрипт управляет последовательностью команд для получения и выполнения основной полезной нагрузки Chaos RAT, обеспечивая постоянство с помощью изменений в запланированных задачах и реестре Windows. В отличие от этого, на платформах Linux вредоносное ПО маскируется под легальный инструмент, обычно это сетевое диагностическое приложение, такое как "NetworkCheck". Оно использует сценарии оболочки для загрузки и выполнения RAT, используя при этом запутанные URL-адреса и зашифрованную полезную нагрузку для обхода механизмов безопасности.

Техническая сложность Chaos RAT примечательна благодаря многоступенчатому процессу заражения и надежным функциям антианализа. Вредоносная программа использует сложные методы обфускации, такие как закодированные строки и динамическое разрешение API, что усложняет работу по обратному проектированию. Кроме того, он имеет встроенные проверки для идентификации виртуализированных сред и изолированных сред-хранилищ, гарантируя, что он будет выполняться только в средах, которые злоумышленники сочтут благоприятными.

После запуска Chaos RAT предоставляет злоумышленникам широкие возможности для удаленного управления уязвимыми системами, включая ведение кейлогга, захват экрана, фильтрацию файлов и выполнение удаленных команд. Кроме того, он включает модули для майнинга криптовалют, которые используют системные ресурсы для получения незаконного дохода, что в конечном итоге снижает производительность системы.

Хотя конкретные целевые отрасли или географические регионы не упоминаются, двухплатформенность Chaos RAT подразумевает широкую зону атаки, которая потенциально может повлиять на различные сектора. Эволюция Chaos RAT, произошедшая под влиянием ее открытого исходного кода, позволила хакерам быстро внедрять и обогащать ее возможности и стратегии уклонения, что делает ее постоянным и серьезным хакером.

#ParsedReport #CompletenessLow
18-06-2025

Whats in an ASP? Creative Phishing Attack on Prominent Academics and Critics of Russia

https://cloud.google.com/blog/topics/threat-intelligence/creative-phishing-academics-critics-of-russia/

Report completeness: Low

Actors/Campaigns:
Unc6293
Duke

Threats:
Residential_proxy_technique

Victims:
Prominent academics, Critics of russia

Geo:
Russia, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1071.003, T1078, T1090.003, T1098, T1566, T1589

IOCs:
IP: 1
Hash: 1

Soft:
Gmail

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Российский хакер UNC6293 атаковал ученых, выдавая себя за представителя Государственного департамента США, используя социальную инженерию для сбора паролей к конкретным приложениям с помощью фишинговых электронных писем и специальных PDF-файлов. В ходе атак использовались локальные прокси-серверы для постоянного доступа к скомпрометированным учетным записям электронной почты, что подчеркивает сложные методы сбора учетных данных.
-----

Google Threat Intelligence Group (GTIG) сообщила о спонсируемом российским государством хакере, идентифицированном как UNC6293, который действовал как минимум с апреля по начало июня 2025 года. Этот субъект преследовал видных ученых и критиков России, выдавая себя за Государственный департамент США. Их подход включал в себя сложные методы социальной инженерии, в ходе которых они устанавливали контакт с объектами, чтобы убедить их создать пароли, зависящие от конкретного приложения (ASP).

Вредоносные кампании, проводимые UNC6293, включали рассылку фишинговых сообщений, замаскированных под законные приглашения на встречи. Для повышения достоверности своей информации они включали в переписку поддельные адреса электронной почты Государственного департамента. Хотя первоначальные электронные письма не были откровенно вредоносными, они побуждали получателей к дальнейшему взаимодействию и организации встречи. Те, кто откликнулся, получили дополнительное электронное письмо, содержащее безобидный PDF-файл, который послужил настоящей приманкой. Этот PDF-файл был адаптирован для конкретной цели и содержал инструкции по доступу к мошеннической облачной среде Государственного департамента.

В PDF—файле жертвам предлагалось создать ASP-16-символьный пароль, предназначенный для сторонних приложений, которые могут не полностью поддерживать двухэтапные механизмы проверки. Например, в одной кампании предлагалось назвать ASP "ms.state.gov", в то время как в другой использовались имена, связанные с Украиной и Microsoft. После создания ASP жертвы получали инструкции передать код злоумышленникам. Используя эту информацию, хакеры настраивали почтовые клиенты, настроенные на использование ASP, предоставляя им постоянный доступ к учетным записям электронной почты жертв.

В ходе атак использовались локальные прокси-серверы и VPS-серверы для входа в скомпрометированные учетные записи, что способствовало созданию среды, в которой они могли получать доступ к нескольким учетным записям жертв, иногда повторно используя инфраструктуру. GTIG удалось объединить две наблюдаемые кампании благодаря общим характеристикам и методам. Были приняты меры для защиты учетных записей Gmail, скомпрометированных в ходе этих операций, но инциденты свидетельствуют о изощренной тактике, используемой UNC6293, которая сочетает социальную инженерию с вредоносными методами сбора учетных данных.

#ParsedReport #CompletenessLow
18-06-2025

Stories from the SOC ClickFix and Chill, Now Heres the Ransomware Bill

https://levelblue.com/blogs/security-essentials/stories-from-the-soc-clickfix-and-chill-now-heres-the-ransomware-bill

Report completeness: Low

Threats:
Clickfix_technique
Fakecaptcha_technique
Interlock

Victims:
Texas tech university health sciences center

Industry:
Education, Healthcare

ChatGPT TTPs:
do not use without manual check
T1016, T1071.001, T1105, T1204, T1486, T1566

Soft:
curl

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4