#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор Endoor от Kimsuky использует новую тактику уклонения, маскируясь под открытый исходный код и обмениваясь данными через порт 53, чтобы избежать обнаружения. Он нацелен на южнокорейские организации, использует социальную инженерию и может работать как на Windows, так и на Android. Вредоносная программа включает в себя исполняемый вариант, который использует методы XOR-дешифрования и саморепликации, при этом демонстрируя минимальные функциональные изменения, указывающие на продолжающиеся доработки.
-----

Центр анализа угроз Qi'anxin недавно обнаружил новые образцы бэкдора Endoor от Kimsuky, которые сохраняют неизменную базовую функциональность, но при этом используют новую тактику уклонения. Вредоносная программа маскируется под открытый исходный код, полученный с GitHub, в частности, используя строку "local.github.com", чтобы ввести в заблуждение аналитиков во время проверки кода. Он взаимодействует с сервером управления (C&C) через порт 53, что является нестандартным решением, направленным на обход механизмов обнаружения, которые обычно предупреждают о трафике через более распространенные порты, такие как 80 или 443.

Кимсуки, известный под различными псевдонимами, такими как Mystery Baby и Black Banshee, в основном атаковал предприятия в Южной Корее, включая оборонный сектор, образование, энергетику, правительственную инфраструктуру и здравоохранение, уделяя особое внимание краже конфиденциальной информации. Организация использует различные способы доставки своих вредоносных программ, включая социальную инженерию, электронные письма harpoon и puddle-атаки, поражающие как системы Windows, так и Android.

Бэкдор Endoor, написанный на Go, содержится в двух типах файлов: DLL и EXE. Библиотека DLL запускается с помощью функции export и впоследствии вызывает функцию main. Генерируется уникальный идентификатор (UID), который помечает зараженный хост на основе пользовательских и системных данных, а URL-адрес сервера C&C форматируется таким образом, чтобы включать определенный адрес. После установления соединения Endoor выполняет две основные функции: прием команд и отправку результатов, при этом выполнение команд основано на структурированном ответе сервера.

Примечательно, что в EXE-версии вредоносного ПО используется шелл-код, который выполняет расшифровку методом исключения для выполнения дополнительной полезной нагрузки. Вредоносное ПО поддерживает определенные параметры командной строки — при отсутствии успешного выполнения этих параметров оно самоуничтожается. В сценариях, где вызывается параметр "dkgei", Endoor реплицируется как "svchost.exe" в каталоге пользователя и устанавливает запланированную задачу. И наоборот, запуск с параметром "dkeig" влечет за собой прямое взаимодействие с сервером управления и контроля.

Это новое обнаружение Endoor демонстрирует минимальные функциональные изменения по сравнению с предыдущими версиями, но демонстрирует незначительные корректировки в обработке данных и способах самоудаления, что указывает на продолжающиеся доработки Kimsuky. Последние доменные имена, такие как "июнь.drydate.p-e.kr " были связаны с дополнительными IP-адресами, что усиливает потенциал группы в развитии и адаптации своей инфраструктуры, стремясь при этом скрыть свою деятельность. Пользователям настоятельно рекомендуется проявлять осторожность в отношении попыток фишинга, воздерживаться от использования сомнительных вложений электронной почты или программного обеспечения из непроверенных источников и применять современные методы обеспечения безопасности для защиты от подобных угроз.

#ParsedReport #CompletenessLow
18-06-2025

Exploring a New KimJongRAT Stealer Variant and Its PowerShell Implementation

https://unit42.paloaltonetworks.com/kimjongrat-stealer-variant-powershell/

Report completeness: Low

Actors/Campaigns:
Giant

Threats:
Kimjongrat
Powershell_keylogger_tool
Babyshark

Geo:
Asia, Korean, Middle east, Japan, Australia, India

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1041, T1056.001, T1059.001, T1070.004, T1071.001, T1082, T1083, T1105, have more...

IOCs:
File: 32
Path: 5
Coin: 2
Hash: 40
Registry: 1

Soft:
Internet Explorer, curl, Visual Studio Code, Google Chrome, Chrome, Firefox, Microsoft Office, Microsoft Access, Windows registry

Wallets:
metamask, tronlink, exodus_wallet, solflare_wallet, keplr, iwallet, subwallet, bybit, rabby, ronin_wallet, have more...

Crypto:
uniswap

Algorithms:
base64, zip, xor, sha256, rc4

Functions:
GetExWFile, GetBrowserData, CreateFileList, Get-ShortcutTargetPath, CreateShortcut

Win API:
GetProcAddress

Languages:
powershell, python

Links:
have more...
https://github.com/Matmaus/LnkParse3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Два новых варианта KimJongRAT используют файл быстрого доступа Windows (LNK) для загрузки вредоносной полезной нагрузки с CDN, причем один вариант использует PE, а другой PowerShell. Оба варианта нацелены на данные браузера, особенно на расширения криптовалютных кошельков, которые передают конфиденциальную информацию через сервер управления и контроля, используя методы обфускации, чтобы избежать обнаружения.
-----

Анализ в первую очередь сосредоточен на технических тонкостях двух новых вариантов KimJongRAT, распространенной вредоносной программы-похитителя. Оба варианта — один с использованием переносимого исполняемого файла (PE), а другой с использованием PowerShell — запускаются с помощью файла быстрого доступа Windows (LNK), который загружает файл-дроппер из сети доставки контента, принадлежащей злоумышленнику (CDN). Дроппер облегчает внедрение других вредоносных файлов, включая загрузчик, ложный PDF-файл и дополнительные скрипты. Вариант PE использует HTTP POST-запросы для загрузки данных с использованием методов multipart/form-data или application/x-www-form-urlencoded, в то время как для загрузки данных он использует HTTP GET-запросы. Кроме того, он непрерывно поддерживает связь со своим сервером управления (C2), что позволяет осуществлять фильтрацию данных и получать инструкции.

Выполнение варианта PE начинается при двойном щелчке по файлу LNK, запускающем загрузку файла HTML-приложения (HTA) из CDN. Этот HTA-файл впоследствии удаляет встроенный PDF-файл и текстовый файл (user.txt), которые содержат URL-адреса для дальнейшей загрузки. Загрузчик, обозначенный как sys.dll, выполняет проверку, чтобы определить, запущен ли он в виртуализированной среде, и если это так, он удаляет себя. Он извлекает вредоносную полезную нагрузку, включая новый компонент KimJongRAT stealer, по URL-адресам, указанным в файле user.txt. Основной редактор вредоносной программы, обозначенный как main64.log, управляет сетевыми коммуникациями, сбором данных и облегчает выполнение команд с сервера C2.

В варианте PowerShell используется аналогичная последовательность выполнения. При запуске с помощью файла LNK загружается HTA-файл, из которого выводятся ложный PDF-файл и ZIP-архив. Извлеченные файлы содержат программу PowerShell stealer и кейлоггер, которые отправляют собранную информацию на сервер C2 и поддерживают подключение для дальнейших команд. Этот вариант специально предназначен для обработки данных браузера с акцентом на расширения криптовалютного кошелька, что отражает его адаптируемость к современным угрозам кибербезопасности.

Вредоносная программа использует сложные механизмы, чтобы скрыть свою активность и избежать обнаружения. Она использует методы кодирования для защиты конфиденциальных строк и использует законные службы CDN для размещения своих полезных данных, эффективно маскируя свои вредоносные намерения. Компонент st34l3r систематически использует популярные браузеры для сбора учетных данных, сессионных файлов cookie и другой конфиденциальной информации, сохраняя украденные данные в локальных временных каталогах, прежде чем они будут сжаты и отправлены на сервер C2.

В то время как передовые решения WildFire и Advanced Threat Prevention обеспечивают некоторую защиту от подобных угроз, постоянное развитие KimJongRAT подчеркивает стремление его разработчиков расширять возможности вредоносного ПО. Функциональность вредоносного ПО демонстрирует значительный риск для безопасности личных и организационных данных, особенно в отношении криптовалют и конфиденциальных учетных данных пользователей. Это всестороннее исследование подчеркивает необходимость постоянной бдительности и адаптивных мер безопасности для противодействия постоянной угрозе, исходящей от Кимджонграта и его разновидностей.

#ParsedReport #CompletenessLow
17-06-2025

Is b For Backdoor? Pre-Auth RCE Chain In Sitecore Experience Platform

https://labs.watchtowr.com/is-b-for-backdoor-pre-auth-rce-chain-in-sitecore-experience-platform/

Report completeness: Low

Threats:
Kekw

Victims:
Sitecore, Enterprise

CVEs:
CVE-2025-27218 [Vulners]
CVSS V3.1: 5.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1003.003, T1059.001, T1078, T1110.001, T1190, T1505.003, T1556.001

IOCs:
File: 7

Soft:
Sitecore, WordPress, SQL Server Management Studio

Algorithms:
sha1, zip, base64

Functions:
GetLanguage, GetPathOrId, CloseDialogOnEnd, GetPipeline

Languages:
powershell, aspnet

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа Sitecore Experience Platform имеет критические уязвимости, включая проблемы с RCE (CVE-2025-27218) и жестко запрограммированные учетные данные в разных экземплярах, что создает риск несанкционированного доступа. Слабые пароли по умолчанию, такие как "b", и неправильно настроенные конечные точки аутентификации еще больше усугубляют эти проблемы безопасности.
-----

Было обнаружено, что платформа Sitecore Experience Platform (XP), широко используемая система управления контентом (CMS) в корпоративных средах, имеет критические уязвимости в системе безопасности, включая проблемы с удаленным выполнением кода перед аутентификацией (RCE). Конкретная уязвимость, идентифицированная как CVE-2025-27218, была устранена в версии 10.4.1, которая стала доступна в январе 2025 года. Несмотря на то, что это исправление было внедрено до проведения описанного исследования, потенциальные риски оставались из-за привычки системы использовать жестко запрограммированные учетные данные, которые могут быть использованы. Анализ показал, что более 22 000 уязвимых экземпляров Sitecore, что подчеркивает его привлекательность в качестве мишени для кибератакующих.

Изучение механизма аутентификации Sitecore показало, что учетные данные пользователей хранятся в базе данных с известными учетными записями по умолчанию, некоторые из которых имеют слабые пароли, которые легко поддаются перебору. Примечательно, что предыдущий пароль по умолчанию для критически важных внутренних пользователей, таких как пользователь ServicesAPI, был идентифицирован как "b". В целях обеспечения необычайно высокой безопасности Sitecore рекомендует не изменять эти учетные записи по умолчанию, что может непреднамеренно нарушить инфраструктуру безопасности системы.

Исследование показало, что если бы злоумышленник смог пройти аутентификацию с использованием этих учетных данных, он не смог бы получить прямой доступ к более конфиденциальным приложениям Sitecore из-за отсутствия назначенных ролей для конкретных пользователей. Однако реализации безопасности, включая правила авторизации, потенциально могут быть обойдены путем использования неправильных настроек или использования конечных точек аутентификации, которые были неправильно раскрыты. Обнаружение того, что пароль по умолчанию был установлен на "b" для нескольких установок, начиная с версии 10.1, вызывает опасения по поводу уровня безопасности сред, использующих Sitecore, в которых присутствуют такие уязвимости.

Кроме того, наличие жестко запрограммированных учетных данных представляет значительный риск, поскольку они идентичны в разных развертываниях. Если злоумышленник успешно взломает эти учетные данные, он сможет получить доступ к многочисленным экземплярам Sitecore, учитывая общий характер паролей по умолчанию. Анализ также показал, что, хотя некоторые средства, такие как расширения Sitecore PowerShell, могут быть неотъемлемой частью функциональности, они также вносят дополнительные риски, позволяя загружать webshell при определенных условиях. Это создает серьезную проблему для безопасности пользователей Sitecore XP, несмотря на то, что она позиционируется как решение, готовое для корпоративного использования.

Сохраняющаяся угроза, связанная с жестко запрограммированными учетными данными и неэффективным управлением учетными записями пользователей по умолчанию, усиливает потребность в надежных методах обеспечения безопасности, особенно в контексте автоматизированных установок, которые могут привести к дальнейшему распространению этих уязвимостей в организациях. Дальнейшее расследование и устранение этих недостатков имеют решающее значение для повышения безопасности сайтов, использующих CMS Sitecore.

#ParsedReport #CompletenessLow
17-06-2025

Weekly Threat Infrastructure Investigation(Week24)

https://disconinja.hatenablog.com/entry/2025/06/17/225643

Report completeness: Low

Threats:
Cobalt_strike_tool
Brc4_tool

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1583.006, T1584.002

IOCs:
IP: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе расследования, проведенного в Японии, были обнаружены четыре сервера управления, к которым были подключены хакеры, в том числе Cobalt Strike. Это указывает на повышенную активность угроз и предполагает активную кампанию с использованием различных методов атаки.
-----

В ходе расследования инфраструктуры командования и контроля (C2) в Японии было выявлено несколько серверов, потенциально связанных с хакерской деятельностью. В ходе исследования, проведенного со 2 по 8 июня 2025 года, было обнаружено в общей сложности четыре сервера C2. Примечательно, что анализ подтвердил присутствие Cobalt Strike среди этих серверов C2. Cobalt Strike - это хорошо известный инструмент, используемый хакерами для последующей эксплуатации, позволяющий удаленно управлять скомпрометированными системами, облегчая различные направления атак, включая перемещение по сети и утечку данных.

Использование Cobalt Strike и других фреймворков C2 означает высокий уровень угроз, поскольку злоумышленники часто используют эти инструменты для управления скомпрометированными сетями и выполнения дополнительных полезных нагрузок или команд в уязвимых системах. Идентификация нескольких серверов C2 указывает на потенциально активную кампанию, в которой могут участвовать различные хакеры, использующие различные методы вторжения и выполнения команд.

Это расследование подчеркивает важность постоянного мониторинга цифровой инфраструктуры и необходимость принятия надежных мер кибербезопасности, особенно в таких регионах, как Япония, которые, возможно, стали центром распространения подобных угроз. Наблюдаемая инфраструктура C2 отражает продолжающуюся тенденцию, когда злоумышленники используют передовые инструменты для установления контроля над сетями, тем самым подчеркивая острую необходимость для организаций внедрять эффективные стратегии обнаружения и реагирования на действия таких хакеров.

#ParsedReport #CompletenessMedium
18-06-2025

Threat Group Targets Companies in Taiwan

https://www.fortinet.com/blog/threat-research/threat-group-targets-companies-in-taiwan

Report completeness: Medium

Threats:
Holdinghands
W64/shellcoderunner.arg!tr
W64/agent.fin!tr
W64/hhagent.bee8!tr
Winos
Gh0stbin_rat
Cringe
Gh0stcring

Victims:
Users

Industry:
Government

Geo:
Taiwan, Chinese

ChatGPT TTPs:
do not use without manual check
T1021.001, T1027, T1036.005, T1053.005, T1055, T1055.001, T1105, T1134.001, T1204.002, T1546.015, have more...

IOCs:
File: 36
Domain: 25
Path: 2
IP: 13
Hash: 32

Soft:
WinLogon, WeChat

Algorithms:
zip

Functions:
TaskServer, TaskScheduler

Win API:
ShowWindow, ExitProcess, WaitForSingleObject, VirtualAlloc, SeDebugPrivilege, ImpersonateLoggedOnUser

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 1, chats: 1, dump: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2025 года на тайваньских пользователей была совершена кибератака с использованием вредоносного ПО winos 4.0 через фишинговые электронные письма, маскирующиеся под сообщения Национального налогового бюро. В атаке участвовала компания HoldingHands RAT, которая использовала защищенные паролем ZIP-файлы и передовые методы повышения привилегий. Вредоносная программа установила управление через msgDb.dat, извлекая системную информацию и адаптируя свои методы к различным вредоносным программам для поддержания постоянного доступа.
-----

В январе 2025 года FortiGuard Labs выявила кибератаку на пользователей на Тайване, где вредоносное ПО под названием winos 4.0 распространялось с помощью фишинговых электронных писем, замаскированных под сообщения Национального налогового бюро. Фишинговые электронные письма, как правило, содержали вложения или ссылки, которые побуждали пользователей загружать вредоносный контент. Одна из связанных с этим фишинговых кампаний в марте 2025 года включала электронное письмо со ссылками, ведущими на вредоносный домен twszz.xin, и изображение, связанное с налоговыми проверками, что усиливало обман, направленный на то, чтобы побудить пользователей перейти по ссылке.

В процессе распространения вредоносного ПО использовались различные методы. В фишинговых электронных письмах часто содержался законный контент, связанный с налогами или другими неотложными вопросами, что приводило к вводящей в заблуждение странице загрузки, на которую доставлялось вредоносное ПО. Злоумышленники использовали защищенные паролем ZIP-файлы для дальнейшего сокрытия, а пароли указывались на странице загрузки, что усложняло анализ. Вредоносное ПО, поставляемое в рамках этих кампаний, включало в себя HoldingHands RAT (троян удаленного доступа), также известный как Gh0stBins. Этот набор вредоносных программ обычно включает в себя несколько файлов, упакованных в ZIP-архивы, и запускается с помощью вредоносных вложений электронной почты.

После запуска вредоносная программа продемонстрировала расширенные возможности, включая методы повышения привилегий. Например, она позволила SeDebugPrivilege обойти ограничения, наложенные WinLogon, и выдать себя за СИСТЕМНОГО пользователя, чтобы получить повышенные привилегии. Ключевые DLL-файлы, такие как Blend.были задействованы библиотеки dll, которые представляют собой законные файлы, перепрофилированные для вредоносных целей, а также код, который проверял наличие определенных файлов, чтобы определить, следует ли продолжить выполнение или завершить.

В ходе атаки были идентифицированы конкретные компоненты, такие как msgDb.dat, которые облегчали обмен данными между командами и контролерами (C2). Эта структура данных управляла такими задачами, как настройка разделов реестра, сбор данных и загрузка дополнительных модулей с сервера C2. Пакеты с сигнальными сообщениями отправлялись каждые три минуты, что поддерживало соединение и позволяло беспрепятственно получать дальнейшие инструкции. MsgDb.dat также извлекал важную системную информацию для передачи злоумышленникам, такую как IP-адреса, имена пользователей и сведения об установленном программном обеспечении.

На протяжении нескольких месяцев мониторинга стало очевидно, что хакер постоянно внедрял инновации, используя различные типы вредоносных программ наряду с winos и HoldingHands, такими как Gh0stCringe. Цепочки атак представляли собой комбинацию сложных фрагментов шеллкода и загрузчиков, создавая запутанный поток, направленный на выполнение вредоносных программ и поддержание постоянного доступа к скомпрометированным системам. Полученные данные дают существенное представление об эволюции тактики, используемой этой хакерской группой для нападения на пользователей на Тайване.

#ParsedReport #CompletenessMedium
18-06-2025

Case of an attack targeting MySQL servers that installs RAT malware

https://asec.ahnlab.com/ko/88468/

Report completeness: Medium

Threats:
Gh0st_rat
Asyncrat
Ddostf
Xworm_rat
Hploader
Zoho_assist_tool
Sqlshell_tool
Cringe
Hiddengh0st
Uacme_tool

Victims:
Mysql servers, Corporate systems, User environments, Systems in korea

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1041, T1055.001, T1056.001, T1059.003, T1078, T1090.001, T1105, T1106, T1110.001, T1190, have more...

IOCs:
Path: 1
Url: 2
Hash: 5
Domain: 2
IP: 4

Soft:
MySQL, MS-SQL, PostgreSQL, Linux

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Продолжающиеся атаки нацелены на незащищенные серверы MySQL, используя слабую защиту для развертывания вредоносных программ, таких как Gh0stRAT и XWorm. Злоумышленники обычно используют грубый взлом открытых портов (3306/TCP), используя вредоносное ПО UDF для выполнения команд и загрузки файлов. Усилия по смягчению последствий должны быть сосредоточены на ограничении доступа, совершенствовании практики использования паролей и постоянном обновлении систем.
-----

Аналитический центр безопасности AhnLab (ASEC) сообщает о продолжающихся атаках на серверы MySQL, особенно на те, которые плохо управляются и имеют доступ к Интернету. Злоумышленники проводят эти операции, используя плохо защищенные системы, что приводит к широкому распространению заражения в Корее. Основное используемое вредоносное ПО - это варианты Gh0stRAT, наряду с другими инструментами, такими как AsyncRAT, вредоносное ПО для DDoS-ботов Ddostf, XWorm, HpLoader и эксплойты против законного инструмента удаленного управления Zoho ManageEngine. Примечательно, что, хотя базы данных MySQL часто используются в средах Linux, они также могут быть установлены в установках Windows, что делает их уязвимыми для атак, аналогичных тем, которые наблюдаются на серверах MS-SQL.

Методы атаки обычно включают сканирование открытых портов, предназначенных для операций с MySQL (порт 3306/TCP), и выполнение атак методом перебора или по словарю, чтобы получить доступ через ненадежные учетные данные учетной записи. После успешного проникновения злоумышленники часто развертывают библиотеки пользовательских функций (UDF), содержащие вредоносные команды, которые запрашивают сервер MySQL для выполнения этих команд. Вредоносная программа UDF может выполнять команды, позволяющие загружать и выполнять файлы с указанных URL-адресов, потенциально выступая в качестве промежуточного звена, которое взаимодействует с сервером управления (C&C).

Недавние находки включают вредоносное ПО UDF, которое не только выполняет команды, но и может загружать вредоносную полезную нагрузку, о чем свидетельствуют данные истории загрузок Gh0stRAT. Вариант Gh0stRAT, связанный с этими недавними атаками, оснащен инструментом повышения привилегий, разработанным на основе UACMe, и имеет возможности скрытого захвата экрана. Другая известная вредоносная программа, XWorm, с момента своего появления была переквалифицирована в RAT и поддерживает целый ряд вредоносных действий, включая кражу учетных данных, DDoS-атаки и случайное распространение через USB.

Примечательно, что злоумышленники используют коммерческие инструменты удаленного доступа, такие как Zoho ManageEngine, с признаками постоянной эксплуатации вместо традиционных методов бэкдора. В настоящее время UEMS (Единая система управления конечными точками) Установлено, что агент, развернутый на серверах MySQL, автоматически устанавливается при компрометации системы, используя методы обхода защиты. Соответствующий dropper установил соединения с определенным доменом для загрузки своих компонентов.

Для устранения этих уязвимостей администраторам сервера MySQL крайне важно ограничить внешний доступ к необходимым портам, применять более надежные методы управления паролями и учетными записями, минимизировать привилегии для базы данных и обеспечить обновление операционной системы MySQL и хоста последними исправлениями безопасности. Такой стратегический подход может значительно помочь в защите от текущих продвинутых угроз, использующих эти системы баз данных.

#ParsedReport #CompletenessLow
18-06-2025

Same Sea, New Phish Russian Government-Linked Social Engineering Targets App-Specific Passwords

https://citizenlab.ca/2025/06/russian-government-linked-social-engineering-targets-app-specific-passwords/

Report completeness: Low

Actors/Campaigns:
Unc6293
Duke

Threats:
Residential_proxy_technique

Victims:
Keir giles

Industry:
Military, Government, Education

Geo:
Russia, Ukraine, Russian, Ukrainian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078.004, T1556.003, T1566, T1586.002, T1589.002

IOCs:
IP: 1
Email: 1

Soft:
Gmail, WhatsApp

Algorithms:
sha256

Platforms:
apple, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целью изощренной атаки с использованием социальной инженерии был эксперт Кейр Джайлс, имя которого приписывается российскому актеру UNC6293, с целью манипулирования им с целью обмена паролями от конкретных приложений в обход MFA. Атака выявила уязвимости ASP и эволюционирующую тактику, сочетающую фишинг с альтернативными методами доступа, что подчеркивает необходимость принятия адаптивных мер безопасности.
-----

Кир Джайлс, эксперт по информационным операциям в России, стал жертвой изощренной атаки социальной инженерии, направленной на то, чтобы манипулировать им и заставить создавать пароли для своих учетных записей, привязанные к конкретным приложениям (ASP), и делиться ими, эффективно обходя многофакторную аутентификацию (MFA). Эта атака включала стратегические элементы для обеспечения достоверности, включая выбор времени отправки сообщений и включение официальных правительственных адресов электронной почты в поле CC, что злоумышленник назвал созданием "столпов правдоподобия". Цель состояла в том, чтобы убедить мистера Джайлса, что, предоставив доступ к ASP, он получит доступ к защищенным государственным ресурсам, используя вводящую в заблуждение инструкцию по вводу "ms.state.gov" на странице паролей приложений Gmail, которая просто служила уловкой, создавая вводящую в заблуждение метку для пароля.

Атака была приписана поддерживаемому российским государством актеру UNC6293, с сомнительной связью с APT29, также известному как "Уютный мишка". После атаки Джайлс обратился за помощью в Citizen Lab и сообщил, что заметил подозрительную попытку входа в систему, связанную с IP-адресом Digital Ocean. Google Threat Intelligence Group (GTIG) выявила закономерность, согласно которой UNC6293 был задействован в дополнительных кампаниях с использованием аналогичной тактики, в том числе в темах, ориентированных на Украину.

Инцидент выявил уязвимости, связанные с ASP; хотя они могут быть полезны для пользователей, их также можно использовать для взлома учетных записей в сочетании с социальной инженерией. Поскольку организации все чаще применяют такие меры безопасности, как MFA, злоумышленники совершенствуют свои стратегии. В настоящее время они используют более сложные методы социальной инженерии, сочетающие традиционный фишинг с альтернативными потоками доступа к учетной записи, включая токены доступа. Кроме того, наблюдается тенденция к кросс-платформенным атакам, когда взаимодействие начинается с одного приложения для обмена сообщениями и переходит на электронную почту, что усложняет усилия по обнаружению.

Необычный темп коммуникации и постоянное наличие адресов электронной почты .gov способствовали эффективности атаки, демонстрируя, на что способны изощренные злоумышленники, чтобы обмануть важные цели. В целом, этот инцидент сигнализирует о тревожном изменении тактики, используемой хакерами, подчеркивая необходимость постоянной адаптации подходов к обеспечению безопасности и повышения осведомленности о том, как социальная инженерия может извлечь выгоду из, казалось бы, безобидных функций, таких как ASPS.

#ParsedReport #CompletenessMedium
18-06-2025

Bert Ransomware

https://theravenfile.com/2025/06/16/bert-ransomware/

Report completeness: Medium

Threats:
Bert_ransomware
Revil

Industry:
Healthcare, Logistic

Geo:
Russian, Sweden, Taiwan, Malaysia, Russia, Columbia, Turkey

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1059.001, T1105, T1112, T1486, T1562.001, T1566, T1583.001

IOCs:
Hash: 1
File: 7
Path: 1
Command: 1
Registry: 2
IP: 1

Soft:
Linux, Ubuntu, Windows Defender, Windows Firewall

Algorithms:
rc4, chacha20, md5, zip, salsa20, aes, base64

Functions:
Write-Host, Set-ItemProperty, Get-Service, Set-NetFirewallProfile, Write-Error

Languages:
powershell

Links:
https://github.com/TheRavenFile/Daily-Hunt/blob/main/Bert%20Ransomware