#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2025 года на тайваньских пользователей была совершена кибератака с использованием вредоносного ПО winos 4.0 через фишинговые электронные письма, маскирующиеся под сообщения Национального налогового бюро. В атаке участвовала компания HoldingHands RAT, которая использовала защищенные паролем ZIP-файлы и передовые методы повышения привилегий. Вредоносная программа установила управление через msgDb.dat, извлекая системную информацию и адаптируя свои методы к различным вредоносным программам для поддержания постоянного доступа.
-----

В январе 2025 года FortiGuard Labs выявила кибератаку на пользователей на Тайване, где вредоносное ПО под названием winos 4.0 распространялось с помощью фишинговых электронных писем, замаскированных под сообщения Национального налогового бюро. Фишинговые электронные письма, как правило, содержали вложения или ссылки, которые побуждали пользователей загружать вредоносный контент. Одна из связанных с этим фишинговых кампаний в марте 2025 года включала электронное письмо со ссылками, ведущими на вредоносный домен twszz.xin, и изображение, связанное с налоговыми проверками, что усиливало обман, направленный на то, чтобы побудить пользователей перейти по ссылке.

В процессе распространения вредоносного ПО использовались различные методы. В фишинговых электронных письмах часто содержался законный контент, связанный с налогами или другими неотложными вопросами, что приводило к вводящей в заблуждение странице загрузки, на которую доставлялось вредоносное ПО. Злоумышленники использовали защищенные паролем ZIP-файлы для дальнейшего сокрытия, а пароли указывались на странице загрузки, что усложняло анализ. Вредоносное ПО, поставляемое в рамках этих кампаний, включало в себя HoldingHands RAT (троян удаленного доступа), также известный как Gh0stBins. Этот набор вредоносных программ обычно включает в себя несколько файлов, упакованных в ZIP-архивы, и запускается с помощью вредоносных вложений электронной почты.

После запуска вредоносная программа продемонстрировала расширенные возможности, включая методы повышения привилегий. Например, она позволила SeDebugPrivilege обойти ограничения, наложенные WinLogon, и выдать себя за СИСТЕМНОГО пользователя, чтобы получить повышенные привилегии. Ключевые DLL-файлы, такие как Blend.были задействованы библиотеки dll, которые представляют собой законные файлы, перепрофилированные для вредоносных целей, а также код, который проверял наличие определенных файлов, чтобы определить, следует ли продолжить выполнение или завершить.

В ходе атаки были идентифицированы конкретные компоненты, такие как msgDb.dat, которые облегчали обмен данными между командами и контролерами (C2). Эта структура данных управляла такими задачами, как настройка разделов реестра, сбор данных и загрузка дополнительных модулей с сервера C2. Пакеты с сигнальными сообщениями отправлялись каждые три минуты, что поддерживало соединение и позволяло беспрепятственно получать дальнейшие инструкции. MsgDb.dat также извлекал важную системную информацию для передачи злоумышленникам, такую как IP-адреса, имена пользователей и сведения об установленном программном обеспечении.

На протяжении нескольких месяцев мониторинга стало очевидно, что хакер постоянно внедрял инновации, используя различные типы вредоносных программ наряду с winos и HoldingHands, такими как Gh0stCringe. Цепочки атак представляли собой комбинацию сложных фрагментов шеллкода и загрузчиков, создавая запутанный поток, направленный на выполнение вредоносных программ и поддержание постоянного доступа к скомпрометированным системам. Полученные данные дают существенное представление об эволюции тактики, используемой этой хакерской группой для нападения на пользователей на Тайване.

#ParsedReport #CompletenessMedium
18-06-2025

Case of an attack targeting MySQL servers that installs RAT malware

https://asec.ahnlab.com/ko/88468/

Report completeness: Medium

Threats:
Gh0st_rat
Asyncrat
Ddostf
Xworm_rat
Hploader
Zoho_assist_tool
Sqlshell_tool
Cringe
Hiddengh0st
Uacme_tool

Victims:
Mysql servers, Corporate systems, User environments, Systems in korea

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1041, T1055.001, T1056.001, T1059.003, T1078, T1090.001, T1105, T1106, T1110.001, T1190, have more...

IOCs:
Path: 1
Url: 2
Hash: 5
Domain: 2
IP: 4

Soft:
MySQL, MS-SQL, PostgreSQL, Linux

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Продолжающиеся атаки нацелены на незащищенные серверы MySQL, используя слабую защиту для развертывания вредоносных программ, таких как Gh0stRAT и XWorm. Злоумышленники обычно используют грубый взлом открытых портов (3306/TCP), используя вредоносное ПО UDF для выполнения команд и загрузки файлов. Усилия по смягчению последствий должны быть сосредоточены на ограничении доступа, совершенствовании практики использования паролей и постоянном обновлении систем.
-----

Аналитический центр безопасности AhnLab (ASEC) сообщает о продолжающихся атаках на серверы MySQL, особенно на те, которые плохо управляются и имеют доступ к Интернету. Злоумышленники проводят эти операции, используя плохо защищенные системы, что приводит к широкому распространению заражения в Корее. Основное используемое вредоносное ПО - это варианты Gh0stRAT, наряду с другими инструментами, такими как AsyncRAT, вредоносное ПО для DDoS-ботов Ddostf, XWorm, HpLoader и эксплойты против законного инструмента удаленного управления Zoho ManageEngine. Примечательно, что, хотя базы данных MySQL часто используются в средах Linux, они также могут быть установлены в установках Windows, что делает их уязвимыми для атак, аналогичных тем, которые наблюдаются на серверах MS-SQL.

Методы атаки обычно включают сканирование открытых портов, предназначенных для операций с MySQL (порт 3306/TCP), и выполнение атак методом перебора или по словарю, чтобы получить доступ через ненадежные учетные данные учетной записи. После успешного проникновения злоумышленники часто развертывают библиотеки пользовательских функций (UDF), содержащие вредоносные команды, которые запрашивают сервер MySQL для выполнения этих команд. Вредоносная программа UDF может выполнять команды, позволяющие загружать и выполнять файлы с указанных URL-адресов, потенциально выступая в качестве промежуточного звена, которое взаимодействует с сервером управления (C&C).

Недавние находки включают вредоносное ПО UDF, которое не только выполняет команды, но и может загружать вредоносную полезную нагрузку, о чем свидетельствуют данные истории загрузок Gh0stRAT. Вариант Gh0stRAT, связанный с этими недавними атаками, оснащен инструментом повышения привилегий, разработанным на основе UACMe, и имеет возможности скрытого захвата экрана. Другая известная вредоносная программа, XWorm, с момента своего появления была переквалифицирована в RAT и поддерживает целый ряд вредоносных действий, включая кражу учетных данных, DDoS-атаки и случайное распространение через USB.

Примечательно, что злоумышленники используют коммерческие инструменты удаленного доступа, такие как Zoho ManageEngine, с признаками постоянной эксплуатации вместо традиционных методов бэкдора. В настоящее время UEMS (Единая система управления конечными точками) Установлено, что агент, развернутый на серверах MySQL, автоматически устанавливается при компрометации системы, используя методы обхода защиты. Соответствующий dropper установил соединения с определенным доменом для загрузки своих компонентов.

Для устранения этих уязвимостей администраторам сервера MySQL крайне важно ограничить внешний доступ к необходимым портам, применять более надежные методы управления паролями и учетными записями, минимизировать привилегии для базы данных и обеспечить обновление операционной системы MySQL и хоста последними исправлениями безопасности. Такой стратегический подход может значительно помочь в защите от текущих продвинутых угроз, использующих эти системы баз данных.

#ParsedReport #CompletenessLow
18-06-2025

Same Sea, New Phish Russian Government-Linked Social Engineering Targets App-Specific Passwords

https://citizenlab.ca/2025/06/russian-government-linked-social-engineering-targets-app-specific-passwords/

Report completeness: Low

Actors/Campaigns:
Unc6293
Duke

Threats:
Residential_proxy_technique

Victims:
Keir giles

Industry:
Military, Government, Education

Geo:
Russia, Ukraine, Russian, Ukrainian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078.004, T1556.003, T1566, T1586.002, T1589.002

IOCs:
IP: 1
Email: 1

Soft:
Gmail, WhatsApp

Algorithms:
sha256

Platforms:
apple, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целью изощренной атаки с использованием социальной инженерии был эксперт Кейр Джайлс, имя которого приписывается российскому актеру UNC6293, с целью манипулирования им с целью обмена паролями от конкретных приложений в обход MFA. Атака выявила уязвимости ASP и эволюционирующую тактику, сочетающую фишинг с альтернативными методами доступа, что подчеркивает необходимость принятия адаптивных мер безопасности.
-----

Кир Джайлс, эксперт по информационным операциям в России, стал жертвой изощренной атаки социальной инженерии, направленной на то, чтобы манипулировать им и заставить создавать пароли для своих учетных записей, привязанные к конкретным приложениям (ASP), и делиться ими, эффективно обходя многофакторную аутентификацию (MFA). Эта атака включала стратегические элементы для обеспечения достоверности, включая выбор времени отправки сообщений и включение официальных правительственных адресов электронной почты в поле CC, что злоумышленник назвал созданием "столпов правдоподобия". Цель состояла в том, чтобы убедить мистера Джайлса, что, предоставив доступ к ASP, он получит доступ к защищенным государственным ресурсам, используя вводящую в заблуждение инструкцию по вводу "ms.state.gov" на странице паролей приложений Gmail, которая просто служила уловкой, создавая вводящую в заблуждение метку для пароля.

Атака была приписана поддерживаемому российским государством актеру UNC6293, с сомнительной связью с APT29, также известному как "Уютный мишка". После атаки Джайлс обратился за помощью в Citizen Lab и сообщил, что заметил подозрительную попытку входа в систему, связанную с IP-адресом Digital Ocean. Google Threat Intelligence Group (GTIG) выявила закономерность, согласно которой UNC6293 был задействован в дополнительных кампаниях с использованием аналогичной тактики, в том числе в темах, ориентированных на Украину.

Инцидент выявил уязвимости, связанные с ASP; хотя они могут быть полезны для пользователей, их также можно использовать для взлома учетных записей в сочетании с социальной инженерией. Поскольку организации все чаще применяют такие меры безопасности, как MFA, злоумышленники совершенствуют свои стратегии. В настоящее время они используют более сложные методы социальной инженерии, сочетающие традиционный фишинг с альтернативными потоками доступа к учетной записи, включая токены доступа. Кроме того, наблюдается тенденция к кросс-платформенным атакам, когда взаимодействие начинается с одного приложения для обмена сообщениями и переходит на электронную почту, что усложняет усилия по обнаружению.

Необычный темп коммуникации и постоянное наличие адресов электронной почты .gov способствовали эффективности атаки, демонстрируя, на что способны изощренные злоумышленники, чтобы обмануть важные цели. В целом, этот инцидент сигнализирует о тревожном изменении тактики, используемой хакерами, подчеркивая необходимость постоянной адаптации подходов к обеспечению безопасности и повышения осведомленности о том, как социальная инженерия может извлечь выгоду из, казалось бы, безобидных функций, таких как ASPS.

#ParsedReport #CompletenessMedium
18-06-2025

Bert Ransomware

https://theravenfile.com/2025/06/16/bert-ransomware/

Report completeness: Medium

Threats:
Bert_ransomware
Revil

Industry:
Healthcare, Logistic

Geo:
Russian, Sweden, Taiwan, Malaysia, Russia, Columbia, Turkey

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1059.001, T1105, T1112, T1486, T1562.001, T1566, T1583.001

IOCs:
Hash: 1
File: 7
Path: 1
Command: 1
Registry: 2
IP: 1

Soft:
Linux, Ubuntu, Windows Defender, Windows Firewall

Algorithms:
rc4, chacha20, md5, zip, salsa20, aes, base64

Functions:
Write-Host, Set-ItemProperty, Get-Service, Set-NetFirewallProfile, Write-Error

Languages:
powershell

Links:
https://github.com/TheRavenFile/Daily-Hunt/blob/main/Bert%20Ransomware

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель BERT, впервые обнаруженная в апреле 2025 года, нацелена на системы Windows и Linux с помощью фишинга. Она использует AES и RC4 для шифрования, использует сценарий PowerShell для отключения мер безопасности и имеет схожий код с программой-вымогателем Revil. Ключевая инфраструктура включает серверы Apache на Ubuntu и работает в основном с удаленного сервера, связанного с российской фирмой.
-----

Программа-вымогатель BERT появилась в середине марта 2025 года и была впервые обнаружена в апреле 2025 года, в основном для систем Windows, а к маю 2025 года распространилась и на Linux. Программа-вымогатель распространяется в основном с помощью фишинговых кампаний, которые служат первоначальным источником заражения. Его работа поддерживается серверами для утечки данных и хранения файлов, работающими под управлением Apache/2.4.52 в Ubuntu. Примечательно, что он не использует выделенный домен Onion для обмена данными; вместо этого он полагается на сеансы, ориентированные на конфиденциальность. Больше всего от этой программы-вымогателя пострадали Соединенные Штаты, за ними следуют Великобритания, Малайзия, Тайвань, Колумбия и Турция. Наиболее пострадавшими секторами являются сфера услуг, производство, логистика, информационные технологии и здравоохранение.

BERT содержит различные исполняемые файлы для Windows, в том числе "newcryptor.exe", а также другие файлы с именами Bert, Bert11, worker.exe, payload.exe, build.exe и build.exe.bin. Версия для Linux демонстрирует примерно 80%-ное сходство кодовой базы с программой-вымогателем Revil (Sodinokibi). Что касается методов шифрования, BERT использует AES и RC4 PRGA, и отмечается, что в версии Linux также могут использоваться алгоритмы Salsa20 и ChaCha, при этом закодированные данные хранятся в Base64. Важным компонентом атаки является скрипт PowerShell, предназначенный для отключения защитника Windows и ряда других функций безопасности. Этот скрипт изменяет записи реестра, отключая защиту в режиме реального времени, облачную защиту и настройки брандмауэра, эффективно снижая защиту для облегчения дальнейших вредоносных действий.

Сценарий PowerShell пытается завершить работу служб, связанных с безопасностью, и устанавливает для параметра "EnableLUA" значение 0, что отключает контроль учетных записей пользователей (UAC). Он также загружает исполняемый файл "payload.exe" с удаленного сервера, расположенного по IP-адресу 185.100.157.74, и запускает его с правами администратора из системного каталога temp. Такое поведение характерно для программ-вымогателей, которые обычно нарушают меры безопасности перед выполнением своей процедуры шифрования. Интересно, что и скрипт PowerShell, и загруженная полезная нагрузка размещены на одном сервере, принадлежащем компании Edinaya Set Limited, аффилированной с российской фирмой, что подчеркивает географическую связь этой программы-вымогателя.

Что касается оценки исполняемого файла Linux, то результаты показывают, что, хотя группа пыталась создать пользовательскую версию для Windows, их подход к версии для Linux в значительной степени основывался на модификациях существующего кода программы-вымогателя Revil. Этот стратегический выбор отражает продолжающуюся адаптацию хакеров к использованию ранее созданных вредоносных программных платформ для более эффективного проведения своих атак.

#ParsedReport #CompletenessMedium
18-06-2025

Threat actor Banana Squad exploits GitHub repos in new campaign

https://www.reversinglabs.com/blog/threat-actor-banana-squad-exploits-github-repos-in-new-campaign

Report completeness: Medium

Actors/Campaigns:
Banana_squad

Threats:
Supply_chain_technique
Creal_stealer
Blankgrabber

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1136.003, T1195, T1555, T1567.002

IOCs:
Domain: 4
Url: 29
Hash: 271

Algorithms:
zip, base64

Languages:
python

Links:
https://github.com/gchq/CyberChef

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа Banana Squad размещает троянские файлы на Python на GitHub, маскируя их под вредоносные программы. Эти полезные программы извлекают конфиденциальные данные и используют передовые методы кодирования, чтобы избежать обнаружения. Было выявлено более 60 вредоносных репозиториев, из которых перед удалением было загружено почти 75 000 файлов.
-----

Последние тенденции в области атак на цепочки поставок программного обеспечения с открытым исходным кодом указывают на изменение тактики, при этом наблюдается заметный рост числа менее очевидных атак на такие платформы, как GitHub. Новая хакерская группа, известная как Banana Squad, привлекла к себе внимание благодаря своей кампании, которая распространяет троянские файлы на Python, замаскированные под безобидные хакерские инструменты, в репозиториях GitHub. Исследование, проведенное ReversingLabs, показало, что более 60 репозиториев содержали эти вредоносные троянские версии, которые изначально были безобидными на вид копиями законных репозиториев.

С апреля 2023 года Banana Squad запустила неустанную кампанию, в которой используются различные имена пользователей для загрузки сотен вредоносных пакетов. Средства кампании на базе Windows были разработаны для извлечения значительных объемов конфиденциальных данных из скомпрометированных систем, включая информацию из приложений, браузеров и криптовалютных кошельков. Сообщается, что вредоносные хранилища были загружены почти 75 000 раз, прежде чем была выявлена угроза и приняты последующие меры по ее удалению.

Анализ этих хранилищ выявил методы, с помощью которых злоумышленники обходили систему обнаружения. В ноябре 2024 года Центр Internet Storm Center компании SANS изучил один известный репозиторий, связанный с Banana Squad, в котором троянские файлы использовали особенность пользовательского интерфейса GitHub, которая предотвращала перенос длинных строк кода. Это позволило злоумышленникам вставлять большие пробелы, которые выводили вредоносный код за пределы экрана, делая его визуально незаметным и затрудняя обнаружение пользователями.

ReversingLabs идентифицировала вредоносные хранилища, используя индикаторы в своем наборе данных network threat intelligence. Они сосредоточились на названиях хранилищ, которые можно увидеть в строках запроса вредоносных URL-адресов, что позволило им собрать и проанализировать потенциально вредоносные имена. Как правило, в учетных записях, связанных с этими репозиториями, был указан только один репозиторий, что позволяет предположить, что они, скорее всего, были созданы исключительно для распространения вредоносного ПО. Каждый троянский файл на Python содержал несколько уровней кодировки и шифрования, включая Base64, шестнадцатеричные преобразования и шифрование Fernet с использованием стороннего пакета криптографии.

По мере развития кампании Banana Squad также начали использовать новые домены, такие как dieserbenni.ru и недавно обнаруженный 1312services.ru, которые показали сходство с ранее использовавшимися доменами. После анализа все репозитории, о которых сообщалось, были удалены с GitHub.

Структура полезной нагрузки в этой кампании демонстрирует тревожную согласованность с предыдущими операциями Banana Squad, для которых характерно такое же использование избыточных пробелов и кодирующих последовательностей. Эта закономерность подчеркивает важность передовых технологий дифференциального анализа, таких как те, которые используются ReversingLabs, для выявления скрытых изменений в версиях пакетов программного обеспечения. Такой анализ позволяет обнаруживать незаметные изменения в работе вредоносного ПО, которые в противном случае могли бы обойти традиционные меры безопасности, подчеркивая острую необходимость в бдительности в контексте разработки программного обеспечения с открытым исходным кодом.

#ParsedReport #CompletenessMedium
17-06-2025

Diving Into Quasar RAT: TTPs, IoCs and more

https://cyberint.com/blog/dark-web/quasar-rat/

Report completeness: Medium

Actors/Campaigns:
Stone_panda (motivation: cyber_criminal)
Molerats (motivation: cyber_criminal)

Threats:
Quasar_rat
Cicada_ransomware
Supply_chain_technique

Industry:
Healthcare, Energy, Financial, Government

TTPs:
Tactics: 7
Technics: 9

IOCs:
Hash: 7

Soft:
Twitter, Microsoft Office

Algorithms:
zip, sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Quasar - это троян с удаленным доступом на C# (RAT), обнаруженный на GitHub, который используется APT и киберпреступниками для шпионажа и кражи данных. Он позволяет удаленно манипулировать зараженными системами с помощью ложных вложений электронной почты и широко распространен в таких секторах, как финансы и здравоохранение.
-----

Quasar - это троян с открытым исходным кодом для удаленного доступа (RAT) на C#, созданный специально для операционных систем Microsoft Windows. Он находится в открытом доступе в репозитории GitHub, управляемом пользователем по имени MaxXor. Несмотря на то, что он может служить законным целям, таким как удаленная помощь, он все чаще используется субъектами APT для злонамеренных действий, включая киберпреступность и шпионаж. Quasar RAT состоит из двух основных компонентов: серверной части, которая оснащена удобным графическим интерфейсом, позволяющим злоумышленникам удаленно управлять зараженными клиентскими приложениями, и клиентской части, которая часто неосознанно устанавливается жертвами с помощью обманчивых методов, таких как вложения в электронную почту.

После запуска Quasar RAT позволяет злоумышленникам удаленно манипулировать системами, предлагая такие возможности, как удаленная обработка файлов, внесение изменений в системные реестры, мониторинг и запись активности пользователей, а также скрытый доступ к удаленному рабочему столу. Его скрытное выполнение гарантирует, что он может работать в фоновом режиме, способствуя долговременной краже данных и предоставляя постоянный доступ к взломанным компьютерам. Quasar RAT распространяется в основном с помощью спам-кампаний, в ходе которых киберпреступники рассылают вредоносные вложения по электронной почте. Вредоносные файлы, часто замаскированные под доброкачественные документы Microsoft Office, PDF-файлы или исполняемые файлы, могут привести к нежелательной установке RAT при взаимодействии.

хакеры, начиная от отдельных киберпреступников и заканчивая спонсируемыми государством группами, такими как APT10 и Gaza Cybergang, использовали Quasar RAT для атак на различные секторы, включая правительство, оборону, финансы, здравоохранение и производство, в различных регионах мира. Методы распространения вредоносного ПО также включают сомнительные методы загрузки, включая неофициальные установщики, мошеннические веб-сайты и одноранговые сети, где кажущиеся законными файлы могут скомпрометировать ничего не подозревающих пользователей. Чтобы побудить пользователей загрузить RAT, обычно используются обманчивые тактики, такие как поддельные приглашения к обновлению и неофициальные средства активации программного обеспечения.

Как только система заражается Quasar RAT, возможности киберпреступников значительно расширяются, они получают доступ к диспетчеру задач, информации реестра, а также возможность загружать или запускать файлы, регистрировать нажатия клавиш и красть конфиденциальные пароли. Последствия заражения Quasar RAT могут быть серьезными, включая несанкционированный доступ к личным и финансовым данным, потенциальную потерю данных, установку дополнительных вредоносных программ и значительный ущерб компьютерным системам. Растущая сложность и доступность Quasar RAT подчеркивает потенциальные риски кибербезопасности в различных секторах.

#ParsedReport #CompletenessLow
18-06-2025

Threat Advisory: LightPerlGirl Malware

https://www.todyl.com/blog/threat-advisory-lightperlgirl-malware

Report completeness: Low

Threats:
Lightperlgirl
Fakecaptcha_technique
Clickfix_technique

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.003, T1071.001, T1105, T1204.002, T1218.012, T1547.001, T1548.002, T1562.001, have more...

IOCs:
Path: 2
File: 8
Domain: 1
Command: 1

Soft:
Windows Defender, WordPress, Windows security

Algorithms:
base64

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакер использует поддельное всплывающее окно с капчей ClickFix для выполнения вредоносных команд PowerShell со взломанного сайта WordPress. Вредоносное ПО создает исключения для защитника Windows, загружает дополнительные полезные файлы и обеспечивает сохранение при запуске Windows, при этом избегая обнаружения с помощью методов выполнения в памяти.
-----

Вредоносная кампания была сосредоточена на хакере, использующем поддельное всплывающее окно с капчей, получившее название ClickFix, которое обманывает пользователей, заставляя их выполнять вредоносные команды PowerShell. Эта первоначальная компрометация происходит, когда пользователь посещает взломанный сайт WordPress, который предоставляет полезную информацию на JavaScript, имитирующую законную проверку безопасности. В диалоговом окне вредоносного по пользователю предлагается ввести команду PowerShell, которая затемняется, чтобы избежать обнаружения. Эта команда обращается к серверу управления (C2) по адресу cmbkz8kz1000108k2carjewzf.info и инициирует многоэтапный процесс заражения.

Основная функция сценария PowerShell, HelpIO, работает в цикле, чтобы облегчить выполнение нескольких вредоносных действий. Сначала она пытается получить права администратора и создает исключение для пути "C:\Windows\Temp" в защитнике Windows, чтобы избежать обнаружения вредоносных действий. После успешного повышения прав доступа она вызывает две подфункции: Urex и ExWpL. Функция Urex загружает дополнительную полезную нагрузку, пакетный файл с именем evr.bat, с сервера C2 и сохраняет его как LixPay.bat в освобожденном временном каталоге. Он также обеспечивает сохраняемость, создавая ярлык в папке запуска Windows, который позволяет вредоносному ПО пережить перезагрузку системы.

Одновременно функция ExWpL создает вредоносную команду PowerShell с помощью объединения строк и обрабатывает сборку .NET в кодировке base64. Эта сборка загружается непосредственно в память с помощью .Система NET.Возможности отражения, позволяющие запускать вредоносное ПО без записи каких-либо файлов на диск, тем самым еще больше избегая обнаружения.

Вторичная полезная нагрузка, которая затем выполняется в памяти, поддерживает постоянное соединение с сервером C2, позволяя злоумышленникам получать постоянный доступ к скомпрометированному хосту. Вся операция основана на тактике социальной инженерии и технических методах обхода для компрометации систем, демонстрируя эффективность использования веб-контента, который выглядит легитимным, для облегчения атак.

События, приведшие к этой компрометации, подчеркивают важность внедрения надежных решений endpoint security для предотвращения использования подобных эксплойтов на базе PowerShell. В анализе подчеркивается, что меры безопасности должны включать не только техническую защиту, но и информирование пользователей о рисках, связанных с нежелательными всплывающими окнами и приглашениями.

#ParsedReport #CompletenessMedium
18-06-2025

Ransomware Gangs Collapse as Qilin Seizes Control

https://www.cybereason.com/blog/threat-alert-qilin-seizes-control

Report completeness: Medium

Actors/Campaigns:
Dragonforce

Threats:
Qilin_ransomware
Ransomhub
Lockbit
Everest_ransomware
Eldorado_ransomware
Everest
Mamona
Shadow_copies_delete_technique
ransomware.live

Industry:
Ics

Geo:
Russian

TTPs:
Tactics: 5
Technics: 7

IOCs:
Hash: 4
Command: 2
File: 4
IP: 3

Soft:
Linux, ESXi, PsExec, Active Directory, BCDEdit, NET Framework, esxcli, VirtualBox, Mysql, PostgreSQL, have more...

Algorithms:
sha256, rsa-4096, chacha20, aes

Functions:
Get-Printer, Get-WinEvent, Get-Unique, Get-DiskImage

Languages:
powershell, rust

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4