#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Российский хакер UNC6293 атаковал ученых, выдавая себя за представителя Государственного департамента США, используя социальную инженерию для сбора паролей к конкретным приложениям с помощью фишинговых электронных писем и специальных PDF-файлов. В ходе атак использовались локальные прокси-серверы для постоянного доступа к скомпрометированным учетным записям электронной почты, что подчеркивает сложные методы сбора учетных данных.
-----

Google Threat Intelligence Group (GTIG) сообщила о спонсируемом российским государством хакере, идентифицированном как UNC6293, который действовал как минимум с апреля по начало июня 2025 года. Этот субъект преследовал видных ученых и критиков России, выдавая себя за Государственный департамент США. Их подход включал в себя сложные методы социальной инженерии, в ходе которых они устанавливали контакт с объектами, чтобы убедить их создать пароли, зависящие от конкретного приложения (ASP).

Вредоносные кампании, проводимые UNC6293, включали рассылку фишинговых сообщений, замаскированных под законные приглашения на встречи. Для повышения достоверности своей информации они включали в переписку поддельные адреса электронной почты Государственного департамента. Хотя первоначальные электронные письма не были откровенно вредоносными, они побуждали получателей к дальнейшему взаимодействию и организации встречи. Те, кто откликнулся, получили дополнительное электронное письмо, содержащее безобидный PDF-файл, который послужил настоящей приманкой. Этот PDF-файл был адаптирован для конкретной цели и содержал инструкции по доступу к мошеннической облачной среде Государственного департамента.

В PDF—файле жертвам предлагалось создать ASP-16-символьный пароль, предназначенный для сторонних приложений, которые могут не полностью поддерживать двухэтапные механизмы проверки. Например, в одной кампании предлагалось назвать ASP "ms.state.gov", в то время как в другой использовались имена, связанные с Украиной и Microsoft. После создания ASP жертвы получали инструкции передать код злоумышленникам. Используя эту информацию, хакеры настраивали почтовые клиенты, настроенные на использование ASP, предоставляя им постоянный доступ к учетным записям электронной почты жертв.

В ходе атак использовались локальные прокси-серверы и VPS-серверы для входа в скомпрометированные учетные записи, что способствовало созданию среды, в которой они могли получать доступ к нескольким учетным записям жертв, иногда повторно используя инфраструктуру. GTIG удалось объединить две наблюдаемые кампании благодаря общим характеристикам и методам. Были приняты меры для защиты учетных записей Gmail, скомпрометированных в ходе этих операций, но инциденты свидетельствуют о изощренной тактике, используемой UNC6293, которая сочетает социальную инженерию с вредоносными методами сбора учетных данных.

#ParsedReport #CompletenessLow
18-06-2025

Stories from the SOC ClickFix and Chill, Now Heres the Ransomware Bill

https://levelblue.com/blogs/security-essentials/stories-from-the-soc-clickfix-and-chill-now-heres-the-ransomware-bill

Report completeness: Low

Threats:
Clickfix_technique
Fakecaptcha_technique
Interlock

Victims:
Texas tech university health sciences center

Industry:
Education, Healthcare

ChatGPT TTPs:
do not use without manual check
T1016, T1071.001, T1105, T1204, T1486, T1566

Soft:
curl

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Тактика социальной инженерии ClickFix, связанная с группой вымогателей Interlock, манипулирует пользователями, заставляя их выполнять вредоносные команды под ложным предлогом, что приводит к разведке на уровне домена и загрузке сценариев. Эта группа действует независимо и была ответственна за значительную утечку данных в Техасском техническом университете.
-----

Тактика социальной инженерии ClickFix, получившая известность в октябре 2023 года, предназначена для манипулирования пользователями, заставляя их выполнять команды через диалоговое окно запуска под предлогом проверки их доменного соединения. Этот метод быстро распространился благодаря своей простоте и способности обходить традиционные протоколы безопасности. Расследование этой тактики началось, когда пользователь случайно зашел на легальный сайт, который ввел поддельную капчу, что привело к выполнению команды curl, которая подключилась к вредоносному домену. Это действие вызвало загрузку вредоносных скриптов, после чего хакер провел разведку на уровне домена из взломанной системы.

Эта активность была связана с группой программ-вымогателей Interlock, которая действовала с момента своего первого обнаружения в сентябре 2024 года. В отличие от распространенных моделей "Программы-вымогатели как услуга" (RaaS), Interlock работает независимо и приобрел дурную славу после инцидента с Центром медицинских наук Техасского технического университета, в результате которого в октябре 2024 года были раскрыты конфиденциальные данные примерно 1,5 миллионов пациентов. К январю 2025 года группа расширила свои методы, включив в них метод социальной инженерии ClickFix.

В ответ на два предупреждения на одной и той же конечной точке, обнаруженные Sentinel One, команда LevelBlue Managed Detection and Response (MDR) инициировала всестороннее расследование. Их анализ выявил тактику, методы и процедуры (TTP), используемые хакерами, а также выявил многочисленные признаки компрометации (IOC), связанные с группой Interlock. Быстрое реагирование команды сыграло ключевую роль в сдерживании атаки, и в качестве превентивной меры выявленные хэши были впоследствии добавлены в список блокировок SentinelOne для снижения будущих рисков.

#ParsedReport #CompletenessLow
18-06-2025

Kimsuky (APT-Q-2) Organization's recent Endoor malware analysis

https://www.secrss.com/articles/79877

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Endoor

Industry:
Government, Energy, Education, Healthcare

Geo:
Korea, Korean, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055.001, T1070.004, T1071.001, T1566.001, T1566.002, T1571

IOCs:
Hash: 3
Url: 1
File: 2
IP: 1

Soft:
Android

Algorithms:
md5, xor, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор Endoor от Kimsuky использует новую тактику уклонения, маскируясь под открытый исходный код и обмениваясь данными через порт 53, чтобы избежать обнаружения. Он нацелен на южнокорейские организации, использует социальную инженерию и может работать как на Windows, так и на Android. Вредоносная программа включает в себя исполняемый вариант, который использует методы XOR-дешифрования и саморепликации, при этом демонстрируя минимальные функциональные изменения, указывающие на продолжающиеся доработки.
-----

Центр анализа угроз Qi'anxin недавно обнаружил новые образцы бэкдора Endoor от Kimsuky, которые сохраняют неизменную базовую функциональность, но при этом используют новую тактику уклонения. Вредоносная программа маскируется под открытый исходный код, полученный с GitHub, в частности, используя строку "local.github.com", чтобы ввести в заблуждение аналитиков во время проверки кода. Он взаимодействует с сервером управления (C&C) через порт 53, что является нестандартным решением, направленным на обход механизмов обнаружения, которые обычно предупреждают о трафике через более распространенные порты, такие как 80 или 443.

Кимсуки, известный под различными псевдонимами, такими как Mystery Baby и Black Banshee, в основном атаковал предприятия в Южной Корее, включая оборонный сектор, образование, энергетику, правительственную инфраструктуру и здравоохранение, уделяя особое внимание краже конфиденциальной информации. Организация использует различные способы доставки своих вредоносных программ, включая социальную инженерию, электронные письма harpoon и puddle-атаки, поражающие как системы Windows, так и Android.

Бэкдор Endoor, написанный на Go, содержится в двух типах файлов: DLL и EXE. Библиотека DLL запускается с помощью функции export и впоследствии вызывает функцию main. Генерируется уникальный идентификатор (UID), который помечает зараженный хост на основе пользовательских и системных данных, а URL-адрес сервера C&C форматируется таким образом, чтобы включать определенный адрес. После установления соединения Endoor выполняет две основные функции: прием команд и отправку результатов, при этом выполнение команд основано на структурированном ответе сервера.

Примечательно, что в EXE-версии вредоносного ПО используется шелл-код, который выполняет расшифровку методом исключения для выполнения дополнительной полезной нагрузки. Вредоносное ПО поддерживает определенные параметры командной строки — при отсутствии успешного выполнения этих параметров оно самоуничтожается. В сценариях, где вызывается параметр "dkgei", Endoor реплицируется как "svchost.exe" в каталоге пользователя и устанавливает запланированную задачу. И наоборот, запуск с параметром "dkeig" влечет за собой прямое взаимодействие с сервером управления и контроля.

Это новое обнаружение Endoor демонстрирует минимальные функциональные изменения по сравнению с предыдущими версиями, но демонстрирует незначительные корректировки в обработке данных и способах самоудаления, что указывает на продолжающиеся доработки Kimsuky. Последние доменные имена, такие как "июнь.drydate.p-e.kr " были связаны с дополнительными IP-адресами, что усиливает потенциал группы в развитии и адаптации своей инфраструктуры, стремясь при этом скрыть свою деятельность. Пользователям настоятельно рекомендуется проявлять осторожность в отношении попыток фишинга, воздерживаться от использования сомнительных вложений электронной почты или программного обеспечения из непроверенных источников и применять современные методы обеспечения безопасности для защиты от подобных угроз.

#ParsedReport #CompletenessLow
18-06-2025

Exploring a New KimJongRAT Stealer Variant and Its PowerShell Implementation

https://unit42.paloaltonetworks.com/kimjongrat-stealer-variant-powershell/

Report completeness: Low

Actors/Campaigns:
Giant

Threats:
Kimjongrat
Powershell_keylogger_tool
Babyshark

Geo:
Asia, Korean, Middle east, Japan, Australia, India

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1041, T1056.001, T1059.001, T1070.004, T1071.001, T1082, T1083, T1105, have more...

IOCs:
File: 32
Path: 5
Coin: 2
Hash: 40
Registry: 1

Soft:
Internet Explorer, curl, Visual Studio Code, Google Chrome, Chrome, Firefox, Microsoft Office, Microsoft Access, Windows registry

Wallets:
metamask, tronlink, exodus_wallet, solflare_wallet, keplr, iwallet, subwallet, bybit, rabby, ronin_wallet, have more...

Crypto:
uniswap

Algorithms:
base64, zip, xor, sha256, rc4

Functions:
GetExWFile, GetBrowserData, CreateFileList, Get-ShortcutTargetPath, CreateShortcut

Win API:
GetProcAddress

Languages:
powershell, python

Links:
have more...
https://github.com/Matmaus/LnkParse3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Два новых варианта KimJongRAT используют файл быстрого доступа Windows (LNK) для загрузки вредоносной полезной нагрузки с CDN, причем один вариант использует PE, а другой PowerShell. Оба варианта нацелены на данные браузера, особенно на расширения криптовалютных кошельков, которые передают конфиденциальную информацию через сервер управления и контроля, используя методы обфускации, чтобы избежать обнаружения.
-----

Анализ в первую очередь сосредоточен на технических тонкостях двух новых вариантов KimJongRAT, распространенной вредоносной программы-похитителя. Оба варианта — один с использованием переносимого исполняемого файла (PE), а другой с использованием PowerShell — запускаются с помощью файла быстрого доступа Windows (LNK), который загружает файл-дроппер из сети доставки контента, принадлежащей злоумышленнику (CDN). Дроппер облегчает внедрение других вредоносных файлов, включая загрузчик, ложный PDF-файл и дополнительные скрипты. Вариант PE использует HTTP POST-запросы для загрузки данных с использованием методов multipart/form-data или application/x-www-form-urlencoded, в то время как для загрузки данных он использует HTTP GET-запросы. Кроме того, он непрерывно поддерживает связь со своим сервером управления (C2), что позволяет осуществлять фильтрацию данных и получать инструкции.

Выполнение варианта PE начинается при двойном щелчке по файлу LNK, запускающем загрузку файла HTML-приложения (HTA) из CDN. Этот HTA-файл впоследствии удаляет встроенный PDF-файл и текстовый файл (user.txt), которые содержат URL-адреса для дальнейшей загрузки. Загрузчик, обозначенный как sys.dll, выполняет проверку, чтобы определить, запущен ли он в виртуализированной среде, и если это так, он удаляет себя. Он извлекает вредоносную полезную нагрузку, включая новый компонент KimJongRAT stealer, по URL-адресам, указанным в файле user.txt. Основной редактор вредоносной программы, обозначенный как main64.log, управляет сетевыми коммуникациями, сбором данных и облегчает выполнение команд с сервера C2.

В варианте PowerShell используется аналогичная последовательность выполнения. При запуске с помощью файла LNK загружается HTA-файл, из которого выводятся ложный PDF-файл и ZIP-архив. Извлеченные файлы содержат программу PowerShell stealer и кейлоггер, которые отправляют собранную информацию на сервер C2 и поддерживают подключение для дальнейших команд. Этот вариант специально предназначен для обработки данных браузера с акцентом на расширения криптовалютного кошелька, что отражает его адаптируемость к современным угрозам кибербезопасности.

Вредоносная программа использует сложные механизмы, чтобы скрыть свою активность и избежать обнаружения. Она использует методы кодирования для защиты конфиденциальных строк и использует законные службы CDN для размещения своих полезных данных, эффективно маскируя свои вредоносные намерения. Компонент st34l3r систематически использует популярные браузеры для сбора учетных данных, сессионных файлов cookie и другой конфиденциальной информации, сохраняя украденные данные в локальных временных каталогах, прежде чем они будут сжаты и отправлены на сервер C2.

В то время как передовые решения WildFire и Advanced Threat Prevention обеспечивают некоторую защиту от подобных угроз, постоянное развитие KimJongRAT подчеркивает стремление его разработчиков расширять возможности вредоносного ПО. Функциональность вредоносного ПО демонстрирует значительный риск для безопасности личных и организационных данных, особенно в отношении криптовалют и конфиденциальных учетных данных пользователей. Это всестороннее исследование подчеркивает необходимость постоянной бдительности и адаптивных мер безопасности для противодействия постоянной угрозе, исходящей от Кимджонграта и его разновидностей.

#ParsedReport #CompletenessLow
17-06-2025

Is b For Backdoor? Pre-Auth RCE Chain In Sitecore Experience Platform

https://labs.watchtowr.com/is-b-for-backdoor-pre-auth-rce-chain-in-sitecore-experience-platform/

Report completeness: Low

Threats:
Kekw

Victims:
Sitecore, Enterprise

CVEs:
CVE-2025-27218 [Vulners]
CVSS V3.1: 5.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1003.003, T1059.001, T1078, T1110.001, T1190, T1505.003, T1556.001

IOCs:
File: 7

Soft:
Sitecore, WordPress, SQL Server Management Studio

Algorithms:
sha1, zip, base64

Functions:
GetLanguage, GetPathOrId, CloseDialogOnEnd, GetPipeline

Languages:
powershell, aspnet

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа Sitecore Experience Platform имеет критические уязвимости, включая проблемы с RCE (CVE-2025-27218) и жестко запрограммированные учетные данные в разных экземплярах, что создает риск несанкционированного доступа. Слабые пароли по умолчанию, такие как "b", и неправильно настроенные конечные точки аутентификации еще больше усугубляют эти проблемы безопасности.
-----

Было обнаружено, что платформа Sitecore Experience Platform (XP), широко используемая система управления контентом (CMS) в корпоративных средах, имеет критические уязвимости в системе безопасности, включая проблемы с удаленным выполнением кода перед аутентификацией (RCE). Конкретная уязвимость, идентифицированная как CVE-2025-27218, была устранена в версии 10.4.1, которая стала доступна в январе 2025 года. Несмотря на то, что это исправление было внедрено до проведения описанного исследования, потенциальные риски оставались из-за привычки системы использовать жестко запрограммированные учетные данные, которые могут быть использованы. Анализ показал, что более 22 000 уязвимых экземпляров Sitecore, что подчеркивает его привлекательность в качестве мишени для кибератакующих.

Изучение механизма аутентификации Sitecore показало, что учетные данные пользователей хранятся в базе данных с известными учетными записями по умолчанию, некоторые из которых имеют слабые пароли, которые легко поддаются перебору. Примечательно, что предыдущий пароль по умолчанию для критически важных внутренних пользователей, таких как пользователь ServicesAPI, был идентифицирован как "b". В целях обеспечения необычайно высокой безопасности Sitecore рекомендует не изменять эти учетные записи по умолчанию, что может непреднамеренно нарушить инфраструктуру безопасности системы.

Исследование показало, что если бы злоумышленник смог пройти аутентификацию с использованием этих учетных данных, он не смог бы получить прямой доступ к более конфиденциальным приложениям Sitecore из-за отсутствия назначенных ролей для конкретных пользователей. Однако реализации безопасности, включая правила авторизации, потенциально могут быть обойдены путем использования неправильных настроек или использования конечных точек аутентификации, которые были неправильно раскрыты. Обнаружение того, что пароль по умолчанию был установлен на "b" для нескольких установок, начиная с версии 10.1, вызывает опасения по поводу уровня безопасности сред, использующих Sitecore, в которых присутствуют такие уязвимости.

Кроме того, наличие жестко запрограммированных учетных данных представляет значительный риск, поскольку они идентичны в разных развертываниях. Если злоумышленник успешно взломает эти учетные данные, он сможет получить доступ к многочисленным экземплярам Sitecore, учитывая общий характер паролей по умолчанию. Анализ также показал, что, хотя некоторые средства, такие как расширения Sitecore PowerShell, могут быть неотъемлемой частью функциональности, они также вносят дополнительные риски, позволяя загружать webshell при определенных условиях. Это создает серьезную проблему для безопасности пользователей Sitecore XP, несмотря на то, что она позиционируется как решение, готовое для корпоративного использования.

Сохраняющаяся угроза, связанная с жестко запрограммированными учетными данными и неэффективным управлением учетными записями пользователей по умолчанию, усиливает потребность в надежных методах обеспечения безопасности, особенно в контексте автоматизированных установок, которые могут привести к дальнейшему распространению этих уязвимостей в организациях. Дальнейшее расследование и устранение этих недостатков имеют решающее значение для повышения безопасности сайтов, использующих CMS Sitecore.

#ParsedReport #CompletenessLow
17-06-2025

Weekly Threat Infrastructure Investigation(Week24)

https://disconinja.hatenablog.com/entry/2025/06/17/225643

Report completeness: Low

Threats:
Cobalt_strike_tool
Brc4_tool

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1583.006, T1584.002

IOCs:
IP: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе расследования, проведенного в Японии, были обнаружены четыре сервера управления, к которым были подключены хакеры, в том числе Cobalt Strike. Это указывает на повышенную активность угроз и предполагает активную кампанию с использованием различных методов атаки.
-----

В ходе расследования инфраструктуры командования и контроля (C2) в Японии было выявлено несколько серверов, потенциально связанных с хакерской деятельностью. В ходе исследования, проведенного со 2 по 8 июня 2025 года, было обнаружено в общей сложности четыре сервера C2. Примечательно, что анализ подтвердил присутствие Cobalt Strike среди этих серверов C2. Cobalt Strike - это хорошо известный инструмент, используемый хакерами для последующей эксплуатации, позволяющий удаленно управлять скомпрометированными системами, облегчая различные направления атак, включая перемещение по сети и утечку данных.

Использование Cobalt Strike и других фреймворков C2 означает высокий уровень угроз, поскольку злоумышленники часто используют эти инструменты для управления скомпрометированными сетями и выполнения дополнительных полезных нагрузок или команд в уязвимых системах. Идентификация нескольких серверов C2 указывает на потенциально активную кампанию, в которой могут участвовать различные хакеры, использующие различные методы вторжения и выполнения команд.

Это расследование подчеркивает важность постоянного мониторинга цифровой инфраструктуры и необходимость принятия надежных мер кибербезопасности, особенно в таких регионах, как Япония, которые, возможно, стали центром распространения подобных угроз. Наблюдаемая инфраструктура C2 отражает продолжающуюся тенденцию, когда злоумышленники используют передовые инструменты для установления контроля над сетями, тем самым подчеркивая острую необходимость для организаций внедрять эффективные стратегии обнаружения и реагирования на действия таких хакеров.

#ParsedReport #CompletenessMedium
18-06-2025

Threat Group Targets Companies in Taiwan

https://www.fortinet.com/blog/threat-research/threat-group-targets-companies-in-taiwan

Report completeness: Medium

Threats:
Holdinghands
W64/shellcoderunner.arg!tr
W64/agent.fin!tr
W64/hhagent.bee8!tr
Winos
Gh0stbin_rat
Cringe
Gh0stcring

Victims:
Users

Industry:
Government

Geo:
Taiwan, Chinese

ChatGPT TTPs:
do not use without manual check
T1021.001, T1027, T1036.005, T1053.005, T1055, T1055.001, T1105, T1134.001, T1204.002, T1546.015, have more...

IOCs:
File: 36
Domain: 25
Path: 2
IP: 13
Hash: 32

Soft:
WinLogon, WeChat

Algorithms:
zip

Functions:
TaskServer, TaskScheduler

Win API:
ShowWindow, ExitProcess, WaitForSingleObject, VirtualAlloc, SeDebugPrivilege, ImpersonateLoggedOnUser

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 1, chats: 1, dump: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2025 года на тайваньских пользователей была совершена кибератака с использованием вредоносного ПО winos 4.0 через фишинговые электронные письма, маскирующиеся под сообщения Национального налогового бюро. В атаке участвовала компания HoldingHands RAT, которая использовала защищенные паролем ZIP-файлы и передовые методы повышения привилегий. Вредоносная программа установила управление через msgDb.dat, извлекая системную информацию и адаптируя свои методы к различным вредоносным программам для поддержания постоянного доступа.
-----

В январе 2025 года FortiGuard Labs выявила кибератаку на пользователей на Тайване, где вредоносное ПО под названием winos 4.0 распространялось с помощью фишинговых электронных писем, замаскированных под сообщения Национального налогового бюро. Фишинговые электронные письма, как правило, содержали вложения или ссылки, которые побуждали пользователей загружать вредоносный контент. Одна из связанных с этим фишинговых кампаний в марте 2025 года включала электронное письмо со ссылками, ведущими на вредоносный домен twszz.xin, и изображение, связанное с налоговыми проверками, что усиливало обман, направленный на то, чтобы побудить пользователей перейти по ссылке.

В процессе распространения вредоносного ПО использовались различные методы. В фишинговых электронных письмах часто содержался законный контент, связанный с налогами или другими неотложными вопросами, что приводило к вводящей в заблуждение странице загрузки, на которую доставлялось вредоносное ПО. Злоумышленники использовали защищенные паролем ZIP-файлы для дальнейшего сокрытия, а пароли указывались на странице загрузки, что усложняло анализ. Вредоносное ПО, поставляемое в рамках этих кампаний, включало в себя HoldingHands RAT (троян удаленного доступа), также известный как Gh0stBins. Этот набор вредоносных программ обычно включает в себя несколько файлов, упакованных в ZIP-архивы, и запускается с помощью вредоносных вложений электронной почты.

После запуска вредоносная программа продемонстрировала расширенные возможности, включая методы повышения привилегий. Например, она позволила SeDebugPrivilege обойти ограничения, наложенные WinLogon, и выдать себя за СИСТЕМНОГО пользователя, чтобы получить повышенные привилегии. Ключевые DLL-файлы, такие как Blend.были задействованы библиотеки dll, которые представляют собой законные файлы, перепрофилированные для вредоносных целей, а также код, который проверял наличие определенных файлов, чтобы определить, следует ли продолжить выполнение или завершить.

В ходе атаки были идентифицированы конкретные компоненты, такие как msgDb.dat, которые облегчали обмен данными между командами и контролерами (C2). Эта структура данных управляла такими задачами, как настройка разделов реестра, сбор данных и загрузка дополнительных модулей с сервера C2. Пакеты с сигнальными сообщениями отправлялись каждые три минуты, что поддерживало соединение и позволяло беспрепятственно получать дальнейшие инструкции. MsgDb.dat также извлекал важную системную информацию для передачи злоумышленникам, такую как IP-адреса, имена пользователей и сведения об установленном программном обеспечении.

На протяжении нескольких месяцев мониторинга стало очевидно, что хакер постоянно внедрял инновации, используя различные типы вредоносных программ наряду с winos и HoldingHands, такими как Gh0stCringe. Цепочки атак представляли собой комбинацию сложных фрагментов шеллкода и загрузчиков, создавая запутанный поток, направленный на выполнение вредоносных программ и поддержание постоянного доступа к скомпрометированным системам. Полученные данные дают существенное представление об эволюции тактики, используемой этой хакерской группой для нападения на пользователей на Тайване.

#ParsedReport #CompletenessMedium
18-06-2025

Case of an attack targeting MySQL servers that installs RAT malware

https://asec.ahnlab.com/ko/88468/

Report completeness: Medium

Threats:
Gh0st_rat
Asyncrat
Ddostf
Xworm_rat
Hploader
Zoho_assist_tool
Sqlshell_tool
Cringe
Hiddengh0st
Uacme_tool

Victims:
Mysql servers, Corporate systems, User environments, Systems in korea

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1041, T1055.001, T1056.001, T1059.003, T1078, T1090.001, T1105, T1106, T1110.001, T1190, have more...

IOCs:
Path: 1
Url: 2
Hash: 5
Domain: 2
IP: 4

Soft:
MySQL, MS-SQL, PostgreSQL, Linux

Algorithms:
md5