Коротко о портале (больше деталей будет на офф. релизе)
Основная задача портала: консолидация разрозненных открытых TI-отчетов и аккумуляция знаний из них в автоматическом режиме.
Портал будет публичный и бесплатный.

Особенности:
- Большая часть аналитических операций реализуется через LLM и наш движок CTT ReportHub. Данные, полученные с помощью LLM, отмечены значком «AI».
- Портал оперирует открытыми отчетами тактического и операционного TI, собранными со всего мира (более 170 источников) (т.е. о том, как работают группировки, мальварь и хак-тулы)
- Также портал содержит автоматически создаваемые и обновляемые on-fly профили угроз (как это работает я рассказывал на CTI-meetup 2025).

Action-план
- Догружаем все архивные отчеты и подключаем портал к потоку свежих отчетов.
- Проводим закрытый тест.
- Допиливаем сервис «улучшения» автоматического перевода TI-текстов.
- Допиливаем локализацию и дорабатываем по результатам фидбека с закрытого теста.
- Релизим в паблик.

Дата релиза
Какая дата? Не знаю никакую дату...

#technique

Run native PE or .NET executables entirely in-memory. Build the loader as an .exe or .dll—DllMain is Cobalt Strike UDRL-compatible

https://github.com/NtDallas/MemLoader

#technique

Bruteforcing the phone number of any Google user

https://brutecat.com/articles/leaking-google-phones

#technique

Build-Your-Own-Ransomware: Hands-On Offensive and Defensive Insights

https://github.com/rad9800/byor/

#technique

dark-kill
A user-mode code and its rootkit that will Kill EDR Processes permanently by leveraging the power of Process Creation Blocking Kernel Callback Routine registering and ZwTerminateProcess.

https://github.com/SaadAhla/dark-kill

#ParsedReport #CompletenessLow
19-06-2025

Critical Langflow Vulnerability (CVE-2025-3248) Actively Exploited to Deliver Flodrix Botnet

https://www.trendmicro.com/en_us/research/25/f/langflow-vulnerability-flodric-botnet.html

Report completeness: Low

Threats:
Flodrix_botnet
Leethozer_botnet

Victims:
Organizations using langflow

CVEs:
CVE-2025-3248 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.3.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1041, T1057, T1059.004, T1059.006, T1070.004, T1071.001, T1082, T1094, have more...

IOCs:
File: 1
IP: 4
Hash: 4

Soft:
Langflow, curl, docker, systemd, Linux

Algorithms:
md5, sha256, xor, sha1

Functions:
compile

Win Services:
bits

Languages:
python

Links:
https://github.com/verylazytech/CVE-2025-3248

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, schema: 2, code: 14, dump: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-3248, критическая уязвимость RCE в Langflow (<1.3.0), позволяет злоумышленникам использовать незащищенные конечные точки для удаленного выполнения кода, что приводит к компрометации системы. Это достигается за счет развертывания ботнета Flodrix для DDoS-атак, при этом вредоносное ПО использует стратегии обфускации и завершения процесса, чтобы оставаться незаметным. Исправление в версии 1.3.0 добавляет меры аутентификации, которые снижают этот риск.
-----

Текущая кибератака активно использует уязвимость CVE-2025-3248, критическую уязвимость для удаленного выполнения кода без проверки подлинности (RCE) в версиях Langflow до версии 1.3.0. Эта уязвимость, которая характеризуется показателем CVSS 9,8, позволяет злоумышленникам выполнять произвольный код через плохо защищенные конечные точки в Langflow, в частности /api/v1.конечная точка /проверки/кода. Процесс эксплуатации включает отправку обработанных POST-запросов без надлежащей аутентификации, что приводит к полному компрометированию системы на уязвимых серверах. Недостаток связан с отсутствием в Langflow проверки вводимых данных и изолированной среды, что позволяет обрабатывать и запускать вредоносные программы на стороне сервера.

Злоумышленники используют эту уязвимость для развертывания ботнета Flodrix, представляющего собой серьезную угрозу, способную проводить распределенные атаки типа "отказ в обслуживании" (DDoS) и извлекать конфиденциальные данные. После успешного взлома атака обычно начинается с идентификации незащищенных серверов Langflow с помощью средств разведки. Получив доступ, злоумышленники извлекают и запускают троянский загрузчик, который устанавливает вредоносное ПО Flodrix. Это вредоносное ПО устанавливает канал связи с сервером управления и разгрузки (C&C) и предназначено для запуска DDoS-атак при получении команд.

Вредоносная программа Flodrix демонстрирует сложное поведение, включая самоудаление, чтобы избежать обнаружения, и использование методов обфускации. Она работает по каналам связи TCP и UDP и поддерживает несколько типов DDoS-атак. Вредоносная программа также может распознавать и прерывать определенные критически важные системные процессы для поддержания ее операционной целостности. В ходе эксплуатации исследователи отметили, что злоумышленники использовали различные команды для разведки, такие как запрос переменных среды и сетевых конфигураций, для дальнейшей оценки скомпрометированной системы.

Примечательно, что было выпущено обновление для системы безопасности, устраняющее уязвимость в Langflow версии 1.3.0, включающее меры аутентификации, которые ранее отсутствовали. В этой новой версии для проверки запросов требуется определенный параметр пользовательского сеанса, что эффективно снижает риск использования. Организациям, использующим уязвимые версии Langflow, настоятельно рекомендуется обновить их до этого исправления, ограничить публичный доступ к уязвимым конечным точкам и отслеживать показатели, связанные с активностью Flodrix, включая команды и поведение, выявленные в ходе текущего расследования.

#ParsedReport #CompletenessMedium
19-06-2025

APT-C-60 (Pseudo Hunter) Attack Evolution: Dynamic Payload Distribution and Command Relay Based on GitHub

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247506307&idx=1&sn=917d291b3f14b349263a9b0a2f115323&chksm=f9c1ea8aceb6639ce7e8fa02c8630b203f508d3d971d21174c6a55f1bf4d4102ddc2af602d73&scene=178&cur_album_id=1955835290309230595&search_click_id&poc_token=HF9FVGijkTpFSMB-M7CWfzibM6JAyWn_ZJDaBEvu

Report completeness: Medium

Actors/Campaigns:
Camouflaged_hunter

Threats:
Spear-phishing_technique
Com_hijacking_technique
Goldbar
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Industry:
Government

Geo:
Korean, Chinese

ChatGPT TTPs:
do not use without manual check
T1020, T1027, T1056.001, T1071.003, T1082, T1105, T1113, T1567.002

IOCs:
File: 2
Url: 5
Path: 1
Hash: 4
Command: 1
IP: 1

Algorithms:
xor, base64, md5, rc4

Win API:
LoadLibraryW

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 5, code: 15, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-60, северокорейская APT-группа, использует GitHub и Bitbucket для скрытых командных каналов, повышая скрытность атаки. Их вредоносное ПО содержит зашифрованную полезную информацию объемом 120 КБАЙТ с возможностью бэкдора для кейлоггинга и использует особые условия доставки полезной информации.
-----

APT-C-60, также известная как Псевдо-охотник, является северокорейской APT-группой, которая действует по меньшей мере с 2014 года, в основном нацеливаясь на организации, связанные с корейским правительством, экономикой, торговлей и культурой, включая консалтинговые компании по трудовым вопросам. Недавние исследования, проведенные Институтом перспективных исследований угроз 360, выявили сложную технику атаки, при которой APT-C-60 использует надежные облачные платформы, такие как GitHub, для создания скрытых каналов управления. Этот метод повышает скрытность атаки, используя структуру, в которой GitHub используется для ретрансляции команд и фронтального хранилища полезной нагрузки, в то время как Bitbucket используется для бэкдорного хранения полезной нагрузки, что облегчает динамическое распределение полезной нагрузки.

Вредоносная программа, связанная с APT-C-60, содержит зашифрованную полезную нагрузку размером около 120 КБАЙТ, зашифрованную с использованием метода исключения с помощью специального ключа. Ее архитектура включает механизмы, обеспечивающие доставку полезной нагрузки только на ограниченное число устройств, тем самым ограничивая общую уязвимость. Инструкции по эксплуатации вредоносного ПО указывают на двухэтапный процесс для вновь взломанных компьютеров, при котором загрузка полезной информации происходит только после выполнения определенных условий. Варианты вредоносного ПО генерируются в пакетном режиме с идентичными основными функциями, отличающимися в основном параметрами.

Дальнейший анализ выполнения полезной нагрузки выявил наличие программы установки черного хода (MD5: df58cd2b90db1960c8ac30f57839e513), которая инициализирует параметры конфигурации и проверяет наличие определенных локальных файлов перед загрузкой дополнительных компонентов черного хода. Декодированная полезная нагрузка бэкдора (Backdoor Config.dat, MD5: b3b0366a5696ab4a733cbfb0dddcc563) включает в себя такие функциональные возможности, как ведение кейлогга, и использует протокол связи, соответствующий более ранним образцам APT-C-60, используя комбинацию нестандартных кодировок RC4 и Base64 для своих операций.

Коммуникационные характеристики APT-C-60, схема работы и сроки его активности на GitHub соответствуют историческому поведению группы, что указывает на усовершенствованную стратегию обеспечения операционной безопасности. Чтобы снизить риски, связанные с APT-C-60, организациям рекомендуется применять надежные меры безопасности, такие как повышение квалификации сотрудников по обнаружению фишинга и вредоносных файлов, использование передовых систем фильтрации электронной почты, поддержка обновленного антивирусного программного обеспечения для автоматического сканирования и применение строгих мер контроля доступа для ограничения доступа к потенциально опасным файлам. типы.

#ParsedReport #CompletenessLow
19-06-2025

Introducing: GitHub Device Code Phishing

https://www.praetorian.com/blog/introducing-github-device-code-phishing/

Report completeness: Low

Threats:
Device_code_phishing_technique
Gitphish_tool
Supply_chain_technique

Victims:
Developers, Large organizations, Fortune 500 organizations, Fortune 50 company

Industry:
Iot, Media

Geo:
Usa

ChatGPT TTPs:
do not use without manual check
T1059, T1078.004, T1098, T1110.003, T1210, T1212, T1550.001, T1556.003, T1557.003, T1566.001, have more...

IOCs:
File: 1

Soft:
Azure Active Directory, curl, Visual Studio Code, ServiceNow, Flask, VSCode

Functions:
Zoom

Languages:
javascript

Links:
https://docs.github.com/en/apps/oauth-apps/building-oauth-apps/scopes-for-oauth-apps
https://github.com/praetorian-inc/gato
https://github.com/praetorian-inc/GitPhish
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг с использованием кода устройства использует OAuth 2.0 для авторизации устройств и нацелен на такие системы, как GitHub и Azure AD, для несанкционированного доступа. Злоумышленники используют такие методы, как социальная инженерия и инструменты, такие как GitPhish, для автоматизации фишинга. Организациям следует повысить безопасность с помощью списка разрешенных IP-адресов и постоянного мониторинга журналов аудита, чтобы смягчить эти возникающие угрозы.
-----

Фишинг с использованием кода устройства стал серьезной угрозой для злоумышленников, в частности, использующих протокол OAuth 2.0 Device Authorization Grant (RFC 8628), предназначенный для аутентификации на устройствах с ограниченными возможностями ввода. Этот метод позволяет злоумышленникам манипулировать этим потоком данных для получения несанкционированного доступа к таким системам, как GitHub и Azure Active Directory, где широко распространена аутентификация по коду устройства. В отличие от традиционного фишинга, фишинг по коду устройства использует легитимные функциональные возможности, которые могут обеспечить долгосрочный доступ.

Недавние исследования показывают, что GitHub становится центром подобных атак, что отражает естественную эволюцию методов, ранее применявшихся в среде Microsoft. Фишинг с использованием кода устройства на GitHub был успешно применен против крупных организаций, продемонстрировав свою эффективность в контексте атак на цепочки поставок программного обеспечения. Злоумышленники используют знакомые идентификаторы клиентов приложений, такие как Visual Studio Code, чтобы снизить внимание пользователей и повысить вероятность успешной аутентификации потенциальных жертв.

В ходе успешных атак использовались ключевые стратегии, в том числе звонки разработчикам и выдача себя за сотрудников службы технической поддержки, чтобы облегчить процесс аутентификации по коду устройства. Эта тактика социальной инженерии использует присущее организационным ролям доверие, что приводит к высоким показателям успеха. Попытки фишинга могут распространяться на сетевые настройки, в которых скомпрометированные конечные точки передают поток кода устройства GitHub, что позволяет осуществлять горизонтальное перемещение по сети организации.

В контексте фишинговых кампаний злоумышленники разработали такие инструменты, как GitPhish, которые автоматизируют генерацию действительных кодов устройств и размещение фишинговых страниц на страницах GitHub, которые кажутся законными. GitPhish включает в себя серверную часть, которая динамически генерирует коды устройств в режиме реального времени, чтобы решить проблему с истекшим сроком действия кодов, гарантируя, что каждая жертва получит действительный код при доступе к фишинговой странице.

Чтобы защититься от таких сложных угроз, компании могут внедрить такие меры, как внесение в список разрешенных IP-адресов своих организаций на GitHub и ограничение доступа к конечной точке входа устройства на GitHub на сетевом уровне. Эти меры защиты должны быть сбалансированы с необходимостью поддержания стандартных операционных функций и потенциальным воздействием на действия GitHub, которые могут нарушиться в случае применения чрезмерно ограничительных мер.

Организациям необходимо подготовиться к неизбежному фишингу кода устройства на GitHub и разработать планы реагирования на возможные инциденты. Это включает в себя мониторинг журналов аудита на предмет необычных схем доступа и проверку разрешений, предоставленных токенам, особенно тем, которые имеют области повышенного риска, такие как доступ администратора или репозитория. Поскольку эта тактика становится все более распространенной, для эффективного снижения рисков потребуется постоянная бдительность и адаптация протоколов безопасности.

#ParsedReport #CompletenessMedium
19-06-2025

Dark Partners: The crypto heist adventure of Poseidon Stealer and Payday Loader

https://g0njxa.medium.com/dark-partners-the-crypto-heist-adventure-of-poseidon-stealer-and-payday-loader-c91382fac5c8

Report completeness: Medium

Actors/Campaigns:
Dark_partners
Sandman

Threats:
Payday_loader
Poseidon
Ultraviewer_tool
Lumma_stealer
Process_hacker_tool
Procmon_tool
Dead_drop_technique
Uac_bypass_technique
Lolbin_technique

Industry:
Energy, Logistic

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 221
File: 17
Coin: 21
Registry: 1
Hash: 22
IP: 2

Soft:
MacOS, TradingView, TikTok, DeepSeek, telegram, firefox, chromium, curl, Chrome, electron, have more...

Wallets:
exodus_wallet, metamask, coinbase, kardiachain, terra_station, wombat, harmony_wallet, braavos_wallet, xdefi, yoroi, have more...

Crypto:
binance

Algorithms:
zip

Functions:
writeText, GetUUID, filegrabber

Languages:
applescript, powershell, javascript

Platforms:
apple

Links:
https://github.com/g0njxa/PayDayLoader

#ParsedReport #ExtractedSchema

Classified images:
chats: 1, windows: 3, code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания "Темные партнеры" нацелена на пользователей Windows и macOS с помощью PayDay Loader, распространяющего инфокрадов, таких как Poseidon Stealer. Он использует методы защиты от "песочницы", сохранение данных с помощью PowerShell и использует подписание на основе сертификатов для распространения, в первую очередь для сбора криптовалюты и конфиденциальных данных.
-----

Было замечено, что недавняя вредоносная кампания, приписываемая неустановленным хакерам, получившим название "Темные партнеры", распространяла вредоносные программы, нацеленные на пользователей Windows и macOS. В кампании используется загрузчик, известный как "PayDay Loader", который в первую очередь облегчает распространение инфокрадов, включая печально известный Poseidon Stealer для macOS. Происхождение этого вредоносного ПО можно проследить по веб-сайтам, имитирующим хорошо известные сервисы искусственного интеллекта и VPN, с заметным акцентом на укрепление доверия пользователей с помощью знакомых брендов.

PayDay Loader, распространяемый через хостинг по адресу download.dianecarson.workers.dev, характеризуется как электронное приложение, способное незаметно загружать дополнительные вредоносные программы на зараженные компьютеры. Он оснащен механизмами защиты от "песочницы", которые позволяют ему обнаруживать и прекращать выполнение в виртуальных средах, тем самым избегая обнаружения. При запуске вредоносная программа использует ссылки на календарь Google для кодирования информации о своем сервере управления (C2). Если он идентифицирует изолированную среду, он прекратит работу и завершит сам себя.

Операционный процесс PayDay Loader включает в себя расшифровку дополнительных полезных данных JavaScript с идентифицированного сервера C2, что напрямую приводит к установке различных типов вредоносных программ, включая Lumma Stealer. Этот тип инфокрадов позволяет собирать конфиденциальную информацию, в частности данные криптовалютных кошельков. Примечательно, что загрузчик создает устойчивость на зараженных компьютерах, выполняя сценарии PowerShell с помощью запланированной задачи, которая запускается при каждом входе пользователя в систему.

Кроме того, Poseidon Stealer, который теперь находится под контролем Dark Partners, нацелен на системы macOS с помощью пользовательских средств запуска DMG. Он использует AppleScript для фильтрации данных, позволяющий получать доступ к важным пользовательским данным, таким как файлы cookie браузера, заметки и файлы кошельков для различных криптовалют. Затем скрытая информация отправляется с помощью HTTP POST-запросов на удаленные серверы злоумышленников.

Оба вредоносных приложения используют подписание на основе сертификатов для облегчения своего распространения. Сообщается, что участники Dark Partners приобретают EV-сертификаты для этой цели, хотя эти сертификаты часто отзываются вскоре после обнаружения, что приводит к временным сбоям в работе кампании. Эти аннулирования помечают сборки как ненадежные, что вынуждает участников либо отключать свои веб-сайты, либо развертывать ранее помеченные сборки, в которых отсутствуют действительные сертификаты.

Главной целью кампании Dark Partners является монетизация украденных данных, в частности, с упором на ликвидацию остатков криптовалюты на кошельках жертв и получение учетных данных с помощью средств infostealer. Этот продолжающийся метод эксплуатации подчеркивает важность повышенной бдительности в области кибербезопасности в отношении обманных онлайн-тактик и потенциальных утечек данных.