#ParsedReport #CompletenessMedium
17-06-2025

Diving Into Quasar RAT: TTPs, IoCs and more

https://cyberint.com/blog/dark-web/quasar-rat/

Report completeness: Medium

Actors/Campaigns:
Stone_panda (motivation: cyber_criminal)
Molerats (motivation: cyber_criminal)

Threats:
Quasar_rat
Cicada_ransomware
Supply_chain_technique

Industry:
Healthcare, Energy, Financial, Government

TTPs:
Tactics: 7
Technics: 9

IOCs:
Hash: 7

Soft:
Twitter, Microsoft Office

Algorithms:
zip, sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Quasar - это троян с удаленным доступом на C# (RAT), обнаруженный на GitHub, который используется APT и киберпреступниками для шпионажа и кражи данных. Он позволяет удаленно манипулировать зараженными системами с помощью ложных вложений электронной почты и широко распространен в таких секторах, как финансы и здравоохранение.
-----

Quasar - это троян с открытым исходным кодом для удаленного доступа (RAT) на C#, созданный специально для операционных систем Microsoft Windows. Он находится в открытом доступе в репозитории GitHub, управляемом пользователем по имени MaxXor. Несмотря на то, что он может служить законным целям, таким как удаленная помощь, он все чаще используется субъектами APT для злонамеренных действий, включая киберпреступность и шпионаж. Quasar RAT состоит из двух основных компонентов: серверной части, которая оснащена удобным графическим интерфейсом, позволяющим злоумышленникам удаленно управлять зараженными клиентскими приложениями, и клиентской части, которая часто неосознанно устанавливается жертвами с помощью обманчивых методов, таких как вложения в электронную почту.

После запуска Quasar RAT позволяет злоумышленникам удаленно манипулировать системами, предлагая такие возможности, как удаленная обработка файлов, внесение изменений в системные реестры, мониторинг и запись активности пользователей, а также скрытый доступ к удаленному рабочему столу. Его скрытное выполнение гарантирует, что он может работать в фоновом режиме, способствуя долговременной краже данных и предоставляя постоянный доступ к взломанным компьютерам. Quasar RAT распространяется в основном с помощью спам-кампаний, в ходе которых киберпреступники рассылают вредоносные вложения по электронной почте. Вредоносные файлы, часто замаскированные под доброкачественные документы Microsoft Office, PDF-файлы или исполняемые файлы, могут привести к нежелательной установке RAT при взаимодействии.

хакеры, начиная от отдельных киберпреступников и заканчивая спонсируемыми государством группами, такими как APT10 и Gaza Cybergang, использовали Quasar RAT для атак на различные секторы, включая правительство, оборону, финансы, здравоохранение и производство, в различных регионах мира. Методы распространения вредоносного ПО также включают сомнительные методы загрузки, включая неофициальные установщики, мошеннические веб-сайты и одноранговые сети, где кажущиеся законными файлы могут скомпрометировать ничего не подозревающих пользователей. Чтобы побудить пользователей загрузить RAT, обычно используются обманчивые тактики, такие как поддельные приглашения к обновлению и неофициальные средства активации программного обеспечения.

Как только система заражается Quasar RAT, возможности киберпреступников значительно расширяются, они получают доступ к диспетчеру задач, информации реестра, а также возможность загружать или запускать файлы, регистрировать нажатия клавиш и красть конфиденциальные пароли. Последствия заражения Quasar RAT могут быть серьезными, включая несанкционированный доступ к личным и финансовым данным, потенциальную потерю данных, установку дополнительных вредоносных программ и значительный ущерб компьютерным системам. Растущая сложность и доступность Quasar RAT подчеркивает потенциальные риски кибербезопасности в различных секторах.

#ParsedReport #CompletenessLow
18-06-2025

Threat Advisory: LightPerlGirl Malware

https://www.todyl.com/blog/threat-advisory-lightperlgirl-malware

Report completeness: Low

Threats:
Lightperlgirl
Fakecaptcha_technique
Clickfix_technique

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.003, T1071.001, T1105, T1204.002, T1218.012, T1547.001, T1548.002, T1562.001, have more...

IOCs:
Path: 2
File: 8
Domain: 1
Command: 1

Soft:
Windows Defender, WordPress, Windows security

Algorithms:
base64

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакер использует поддельное всплывающее окно с капчей ClickFix для выполнения вредоносных команд PowerShell со взломанного сайта WordPress. Вредоносное ПО создает исключения для защитника Windows, загружает дополнительные полезные файлы и обеспечивает сохранение при запуске Windows, при этом избегая обнаружения с помощью методов выполнения в памяти.
-----

Вредоносная кампания была сосредоточена на хакере, использующем поддельное всплывающее окно с капчей, получившее название ClickFix, которое обманывает пользователей, заставляя их выполнять вредоносные команды PowerShell. Эта первоначальная компрометация происходит, когда пользователь посещает взломанный сайт WordPress, который предоставляет полезную информацию на JavaScript, имитирующую законную проверку безопасности. В диалоговом окне вредоносного по пользователю предлагается ввести команду PowerShell, которая затемняется, чтобы избежать обнаружения. Эта команда обращается к серверу управления (C2) по адресу cmbkz8kz1000108k2carjewzf.info и инициирует многоэтапный процесс заражения.

Основная функция сценария PowerShell, HelpIO, работает в цикле, чтобы облегчить выполнение нескольких вредоносных действий. Сначала она пытается получить права администратора и создает исключение для пути "C:\Windows\Temp" в защитнике Windows, чтобы избежать обнаружения вредоносных действий. После успешного повышения прав доступа она вызывает две подфункции: Urex и ExWpL. Функция Urex загружает дополнительную полезную нагрузку, пакетный файл с именем evr.bat, с сервера C2 и сохраняет его как LixPay.bat в освобожденном временном каталоге. Он также обеспечивает сохраняемость, создавая ярлык в папке запуска Windows, который позволяет вредоносному ПО пережить перезагрузку системы.

Одновременно функция ExWpL создает вредоносную команду PowerShell с помощью объединения строк и обрабатывает сборку .NET в кодировке base64. Эта сборка загружается непосредственно в память с помощью .Система NET.Возможности отражения, позволяющие запускать вредоносное ПО без записи каких-либо файлов на диск, тем самым еще больше избегая обнаружения.

Вторичная полезная нагрузка, которая затем выполняется в памяти, поддерживает постоянное соединение с сервером C2, позволяя злоумышленникам получать постоянный доступ к скомпрометированному хосту. Вся операция основана на тактике социальной инженерии и технических методах обхода для компрометации систем, демонстрируя эффективность использования веб-контента, который выглядит легитимным, для облегчения атак.

События, приведшие к этой компрометации, подчеркивают важность внедрения надежных решений endpoint security для предотвращения использования подобных эксплойтов на базе PowerShell. В анализе подчеркивается, что меры безопасности должны включать не только техническую защиту, но и информирование пользователей о рисках, связанных с нежелательными всплывающими окнами и приглашениями.

#ParsedReport #CompletenessMedium
18-06-2025

Ransomware Gangs Collapse as Qilin Seizes Control

https://www.cybereason.com/blog/threat-alert-qilin-seizes-control

Report completeness: Medium

Actors/Campaigns:
Dragonforce

Threats:
Qilin_ransomware
Ransomhub
Lockbit
Everest_ransomware
Eldorado_ransomware
Everest
Mamona
Shadow_copies_delete_technique
ransomware.live

Industry:
Ics

Geo:
Russian

TTPs:
Tactics: 5
Technics: 7

IOCs:
Hash: 4
Command: 2
File: 4
IP: 3

Soft:
Linux, ESXi, PsExec, Active Directory, BCDEdit, NET Framework, esxcli, VirtualBox, Mysql, PostgreSQL, have more...

Algorithms:
sha256, rsa-4096, chacha20, aes

Functions:
Get-Printer, Get-WinEvent, Get-Unique, Get-DiskImage

Languages:
powershell, rust

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ситуация с программами-вымогателями меняется по мере того, как устоявшиеся группы, такие как RansomHub, LockBit и Everest, сталкиваются с проблемами, в то время как появляется новый участник Qilin с расширенными возможностями RaaS, нацеленный на системы Windows, Linux и ESXi с использованием сложного вредоносного ПО. Программа-вымогатель Qilin обладает надежным шифрованием и инновационными методами ведения переговоров, а также предлагает услуги поддержки, что делает ее серьезной финансовой угрозой для сообщества киберпреступников.
-----

RansomHub, ведущая группа программ-вымогателей, неожиданно исчезла в конце марта 2025 года, а ее инфраструктура была захвачена конкурирующей компанией DragonForce. RansomHub работал по модели Ransomware-as-a-Service (RaaS), предлагая мультиплатформенное вредоносное ПО для Windows, Linux и ESXi. LockBit и Everest столкнулись с перебоями в работе из-за атак анонимного субъекта по имени "XOXO из Праги", что привело к повреждению их сайтов утечки и существенному раскрытию данных LockBit. Сайт BlackLock, ранее известный как Eldorado, был взломан в результате использования уязвимости локального доступа к файлам (LFI), что указывает на потенциальное сотрудничество между конкурирующими группами. С октября 2022 года в качестве продвинутой платформы RaaS появилась новая группа под названием Qilin, использующая Rust и C для работы с Windows, Linux и ESXi с настраиваемым шифрованием и операционной секретностью. Программа-вымогатель Qilin использует надежные методы шифрования (ChaCha20 и RSA-4096) и уникальные функции, такие как самоудаление, связь через принтеры и функция “Позвонить адвокату” во время переговоров. Компания Qilin заявляет о более чем 50 громких атаках и публикует список из более чем 100 организаций на своем сайте утечек, требуя выкуп в размере от 50 000 до 800 000 долларов.

#ParsedReport #CompletenessLow
18-06-2025

Cato CTRL Threat Research: WormGPT Variants Powered by Grok and Mixtral

https://www.catonetworks.com/blog/cato-ctrl-wormgpt-variants-powered-by-grok-and-mixtral/

Report completeness: Low

Threats:
Wormgpt_tool
Fraudgpt_tool
Darkbert_tool
Evilgpt_tool
Darkgpt_tool
Pentestergpt_tool
Poisongpt_tool
Xxxgpt_tool
Wolfgpt_tool
Ballista
Mirai
Mozi
Hunters_international

Industry:
Iot

CVEs:
CVE-2023-49559 [Vulners]
CVSS V3.1: 3.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1562.001, T1566.001

Soft:
OpenAI, ChatGPT, Telegram

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
WormGPT, вредоносный вариант LLM, предназначенный для киберпреступной деятельности, отражает заметный сдвиг в том, как киберпреступники используют инструменты искусственного интеллекта. С момента выхода в июне 2023 года появились различные модификации, демонстрирующие передовые методы манипулирования для получения вредоносных результатов в обход традиционных мер безопасности. Эта тенденция отражает меняющийся ландшафт угроз, поскольку злоумышленники совершенствуют инструменты, управляемые искусственным интеллектом, специально предназначенные для конкретных атак.
-----

Появление WormGPT, языковой модели без цензуры, предназначенной для облегчения вредоносных действий, свидетельствует о значительном сдвиге в использовании киберпреступниками больших языковых моделей (LLM). Первоначально анонсированный в марте 2023 года и публично выпущенный в июне 2023 года, WormGPT был разработан человеком, известным как "Last", который стремился создать инструмент, свободный от цензуры, обычно присущей основным LLM. WormGPT основан на модели GPT-J с открытым исходным кодом, разработанной компанией EleutherAI, и имеет структуру подписки, что указывает на его стратегию монетизации в рамках экосистемы киберпреступников.

После своего первоначального успеха WormGPT столкнулся с пристальным вниманием средств массовой информации, что привело к его закрытию в августе 2023 года. Тем не менее, его влияние продолжилось, поскольку на форумах, таких как BreachForums, начали появляться различные варианты WormGPT, сигнализирующие о развитии рынка не прошедших цензуру LLM, нацеленных на угрожающие или вредоносные действия. Среди проанализированных вариантов следует отметить те, которые работают на базе Grok от xAI и Mixstral AI. Эти модели не представляют собой совершенно новую архитектуру, а являются адаптацией существующих LLM, модифицированных с помощью системных подсказок для обхода встроенных мер безопасности и создания вредоносных выходных данных.

Анализ варианта, известного как keanu-WormGPT, показывает, что он использует Grok и структурно манипулирует протоколами взаимодействия для создания вредоносного контента. В отличие от этого, xzin0vich-WormGPT более тщательно спроектирован по модели Mixtral, демонстрируя особые архитектурные особенности, такие как двойные активные эксперты для анализа токенов и специальные механизмы внимания, которые соответствуют случаям незаконного использования. Используя оперативные манипуляции и потенциальную тонкую настройку специализированных наборов данных, оба варианта демонстрируют тревожную тенденцию, когда хакеры создают мощные инструменты, управляемые искусственным интеллектом, в соответствии со своими злонамеренными намерениями.

По мере развития хакерской среды распространение не прошедших цензуру LLM, таких как WormGPT, свидетельствует о растущей изощренности злоумышленников. Они не только используют существующие технологии, но и активно набирают специалистов по искусственному интеллекту, намекая на будущее, в котором могут появиться пользовательские модели, позволяющие еще больше адаптировать возможности LLM для обслуживания конкретных направлений атак. Эти разработки повышают уровень угрозы, создаваемой такими инструментами, подчеркивая необходимость постоянной бдительности и совершенствования стратегий защиты от угроз, основанных на искусственном интеллекте.

Keep rollin' rollin' rollin' rollin'

Заливаем TI-отчеты в портал на проде.
Уже залиты 2022, 2023 года.

Коротко о портале (больше деталей будет на офф. релизе)
Основная задача портала: консолидация разрозненных открытых TI-отчетов и аккумуляция знаний из них в автоматическом режиме.
Портал будет публичный и бесплатный.

Особенности:
- Большая часть аналитических операций реализуется через LLM и наш движок CTT ReportHub. Данные, полученные с помощью LLM, отмечены значком «AI».
- Портал оперирует открытыми отчетами тактического и операционного TI, собранными со всего мира (более 170 источников) (т.е. о том, как работают группировки, мальварь и хак-тулы)
- Также портал содержит автоматически создаваемые и обновляемые on-fly профили угроз (как это работает я рассказывал на CTI-meetup 2025).

Action-план
- Догружаем все архивные отчеты и подключаем портал к потоку свежих отчетов.
- Проводим закрытый тест.
- Допиливаем сервис «улучшения» автоматического перевода TI-текстов.
- Допиливаем локализацию и дорабатываем по результатам фидбека с закрытого теста.
- Релизим в паблик.

Дата релиза
Какая дата? Не знаю никакую дату...

#technique

Run native PE or .NET executables entirely in-memory. Build the loader as an .exe or .dll—DllMain is Cobalt Strike UDRL-compatible

https://github.com/NtDallas/MemLoader

#technique

Bruteforcing the phone number of any Google user

https://brutecat.com/articles/leaking-google-phones