#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания выявила бесфайловый вариант AsyncRAT, ориентированный на немецкоговорящих пользователей с помощью запутанного скрипта PowerShell. Он использует загрузку в оперативную память, изменяет ключи реестра для обеспечения сохраняемости и взаимодействует с сервером C2 через порт 4444, обеспечивая кражу учетных данных и эксфильтрацию данных, избегая при этом хранения файлов.
-----

Недавно была выявлена кампания, в которой использовался файловый вариант AsyncRAT, реализованный с помощью запутанного сценария PowerShell. Эта атака нацелена конкретно на немецкоговорящих пользователей, о чем свидетельствует язык, используемый в поддельном приглашении для подтверждения, которое убеждает жертв выполнить вредоносную команду. Вредоносная программа использует легальные системные утилиты и хитроумно манипулирует загрузчиками C# в памяти, чтобы избежать обнаружения. Как только вредоносная программа запускается, она устанавливает постоянство, изменяя ключи реестра, и подключается к серверу удаленного управления (C2) через порт 4444, что позволяет злоумышленникам поддерживать полный удаленный контроль, осуществлять кражу учетных данных и эксфильтрацию данных без записи каких-либо файлов на диск.

При запуске вредоносной программы используются определенные флаги PowerShell: -w hidden для скрытия окна PowerShell, -nop для предотвращения загрузки профилей пользователей и -c для непосредственного выполнения команд. Вредоносный скрипт предназначен для обеспечения его повторного выполнения при следующем входе в систему путем внесения изменений в путь к реестру RunOnce. Обратный класс C# используется в полезной нагрузке для создания бэкдора, который облегчает передачу данных по TCP-сокету, управление процессами и перенаправление ввода/вывода между скомпрометированной системой и сервером C2.

В этой атаке используется несколько тактик и приемов, отличающихся от методологии работы AsyncRAT. Вредоносная программа использует PowerShell (TTP: T1059.001) для выполнения, используя метод обфускации путем вызова conhost.exe. Основные функциональные возможности AsyncRAT динамически загружаются с помощью этой команды PowerShell и компилируются в памяти с помощью функции PowerShell Add-Type, что является примером метода компиляции после доставки (TTP: T1127.001). Кроме того, используется подписанный двоичный прокси-сервер, использующий rundll32 для облегчения дальнейшего выполнения полезной нагрузки.

Коммуникационные соглашения AsyncRAT включают использование нестандартных портов (TTP: T1571), в частности, для постоянных подключений через порты, подобные 4444, что свидетельствует о его долгосрочных эксплуатационных возможностях. Устойчивость достигается главным образом за счет изменений реестра в HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, что позволяет вредоносному ПО беспрепятственно запускаться при входе пользователя в систему без необходимости получения повышенных привилегий, что позволяет избежать контроля учетных записей пользователей (UAC).

Таким образом, AsyncRAT предоставляет злоумышленникам обширный удаленный доступ, позволяя выполнять различные вредоносные действия, такие как кейлоггинг, извлечение учетных данных из браузеров и удаленное выполнение команд, сохраняя при этом скрытность благодаря методам выполнения в памяти и запутанным каналам связи. Меры по устранению неполадок направлены на мониторинг активности PowerShell, изменений в реестре и использование сканирования памяти для обнаружения этих все более сложных полезных нагрузок.

#ParsedReport #CompletenessLow
18-06-2025

Cloaked Shadow APT Group: Tactics, Techniques, and Procedures Underway

https://redsecurity.ru/news/apt-gruppirovka-cloaked-shadow-razbor-taktik-tekhnik-i-protsedur

Report completeness: Low

Actors/Campaigns:
Cloaked_shadow (motivation: cyber_espionage)
C0met

Threats:
Timestomp_technique
Tinyshell
Dropbear_tool
Dns_tunneling_technique
Chisel_tool
Impacket_tool
Ollvm_tool

Victims:
Major russian companies, Organizations in the defense industry, Organizations in it

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1003.001, T1003.003, T1005, T1021.001, T1027, T1036, T1053.005, T1059, T1070.004, have more...

IOCs:
File: 3
IP: 5
Hash: 10

Soft:
Linux

Links:
https://github.com/Acebond/ReverseSocks5
https://github.com/creaktive/tsh
have more...
https://github.com/Fahrj/reverse-ssh

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа APT Cloaked Shadow нацелена на российский оборонный и ИТ-сектор, используя для шпионажа такие методы, как очистка журналов и отслеживание времени. Они используют запланированные задачи Windows и повышенные привилегии, используют системы Linux для операций и такие инструменты, как Dropbear, с модифицированными SSH-ключами для скрытого доступа. Их сосредоточенность на извлечении данных из пользовательских каталогов и передовых технологиях C2, включая туннелирование DNS, иллюстрирует их растущие возможности в поддержании постоянства и предотвращении обнаружения.
-----

Недавно выявленная APT-группа Cloaked Shadow ("Скрытая тень") нацелена на крупные российские компании, особенно в оборонном и IT-секторах, с упором на шпионаж. Группа использует ряд передовых методов для сокрытия своей деятельности, включая очистку журналов, отслеживание времени и изощренные методы противодействия коррупции. Они используют различные инструменты с открытым исходным кодом, которые часто не обнаруживаются системами безопасности и в основном работают в системах Linux. Их методы получения доступа включают использование запланированных задач в инфраструктурах Windows и использование законных учетных записей с повышенными привилегиями, таких как учетная запись ansible, распространенная в крупных средах Linux.

Чтобы перемещаться по сетям своих целей, Cloaked Shadow использует различные утилиты для повышения разрешений и сброса учетных данных из процесса LSASS. Они также используют учетные записи доменов, полученные в системах Linux. Это включает использование уязвимостей в серии ESC и кражу данных с использованием ntds.база данных dit. Их оперативный подход предполагает создание обширных цепочек скомпрометированных серверов в сетях жертв, часто превышающих пять узлов, для облегчения дальнейшего проникновения и сокрытия их деятельности. Они даже сконфигурировали локальные серверы жертв как серверы управления (C2) для доступа к другим сегментам сети.

Во время фильтрации данных группа нацелена на домашние каталоги пользователей, пароли, ключи, сертификаты и конфиденциальные документы. Примечательно, что они упаковывают инструменты в пользовательские загрузчики ELF, шифруя полезную нагрузку и используя дочерний процесс для маскировки своих действий. Такие инструменты, как Dropbear и reverse-SSH, позволяют им обходить журналы и оставаться незамеченными. Злоумышленники модифицировали Dropbear для встраивания SSH-ключей в исполняемые файлы, используя методы, предотвращающие успешную аутентификацию по паролю, тем самым обеспечивая постоянный доступ.

Специалисты Cloaked Shadow умеют устранять следы своей деятельности, удаляя журналы регистрации ключей и используя методы отслеживания времени, чтобы скрыть временные метки вредоносных файлов. Они используют передовые методы, включая процессы монтирования в procfs для сокрытия запущенного вредоносного ПО. Взаимодействуя с компаниями-жертвами, они умело маскировали свои операции C2, используя обычные сервисы, такие как подключение к сервису youtube-dl, чтобы оставаться незамеченными.

По мере развития хакеров они переходят от базовых инструментов с открытым исходным кодом к более сложным проприетарным вредоносным программам, включая образцы, которые взаимодействуют через туннели DNS и используют зашифрованные строки для предотвращения обнаружения. Их образцы бэкдоров связываются с управляющими серверами посредством DNS-запросов, и определение их инструментов, тактик, методов и процедур (TTP) имеет решающее значение для совершенствования стратегий обнаружения и предотвращения. Аналитики постоянно следят за деятельностью этой группы, чтобы лучше понять ее развивающиеся возможности и расширить набор показателей для будущих анализов.

#ParsedReport #CompletenessLow
19-06-2025

Expanding on ChunkyIngress - Clippy Goes Rogue (GoClipC2)

https://blog.zsec.uk/clippy-goes-rogue/

Report completeness: Low

Threats:
Goclipc2
Coffloader

Industry:
Healthcare

ChatGPT TTPs:
do not use without manual check
T1027, T1059.003, T1086, T1095, T1105, T1548.002

IOCs:
File: 4

Algorithms:
aes-gcm, base64

Functions:
Write-Output, Set-Clipboard, Read-Host

Win API:
CloseClipboard, EmptyClipboard

Languages:
golang, powershell

Platforms:
apple

Links:
have more...
https://github.com/inguardians/Invoke-Clipboard?ref=blog.zsec.uk
https://github.com/ZephrFish/ChunkyIngress?ref=blog.zsec.uk

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GoClipC2 - это платформа управления, которая использует буфер обмена Windows для скрытой связи в средах VDI/RDP. Он обходит мониторинг сети, используя зашифрованные сообщения Base64, что облегчает проникновение данных и их эксфильтрацию при обходе ограничений UAC. Платформа поддерживает мониторинг буфера обмена для выполнения команд и передачи файлов, маскируя сообщения под безопасные действия, чтобы избежать обнаружения. Будущие улучшения могут улучшить обфускацию и управление трассировкой выполнения.
-----

GoClipC2 - это инновационная платформа управления (C2), которая использует буфер обмена Windows в качестве скрытого канала связи, специально разработанного для сред VDI (инфраструктура виртуальных рабочих столов) и RDP (протокол удаленного рабочего стола). Он работает в обход традиционных средств сетевого мониторинга за счет использования зашифрованных сообщений в кодировке Base64, тем самым обеспечивая как проникновение, так и эксфильтрацию информации в ситуациях, когда доступен PowerShell.

Разработка GoClipC2 основана на существующих методологиях выполнения команд на основе буфера обмена, которые можно увидеть в таких инструментах, как Invoke-Clipboard, но направлена на расширение возможностей и универсальности, предоставляемых языком программирования Go. Платформа обеспечивает поддержку более сложных форматов данных и эффективно управляет операциями с буфером обмена, которые ранее сталкивались с ограничениями из-за контроля учетных записей пользователей (UAC) в средах Windows, начиная с XP и заканчивая Windows 10/11. Эти ограничения UAC препятствуют взаимодействию с буфером обмена между приложениями с разными уровнями привилегий, и GoClipC2 стремится учесть этот фактор, используя взаимодействия приложений, разработанные в Go.

GoClipC2 работает путем установления отношений клиент-сервер — развертывания сервера на компьютере-контроллере, а клиентского двоичного файла - на целевых узлах VDI/RDP. Механизм C2 предназначен для отслеживания изменений в буфере обмена с регулярными интервалами (первоначально планировалось, что они будут составлять 500 миллисекунд), чтобы облегчить выполнение команд и передачу данных. Платформа поддерживает ряд действий на уровне C2, включая адаптивную систему мониторинга состояния соединения, выполнение команд с помощью таких типов сообщений, как MSG_COMMAND и MSG_RESPONSE, а также передачу файлов с помощью обмена сообщениями на основе фрагментов с помощью MSG_FILE_CHUNK и MSG_FILE_COMPLETE для обеспечения надежности.

Сообщения, передаваемые в рамках платформы GoClipC2, маскируются под вредоносную активность системы с помощью префикса SYUPD, что затрудняет их обнаружение при случайном мониторинге буфера обмена и снижает вероятность возникновения предупреждений от автоматизированных средств безопасности. Инфраструктура может обнаруживать специфические операционные действия, такие как выполнение скрытых процессов, запуск дочерних процессов, связанных с PowerShell или cmd.exe, и отслеживать разведывательные действия с помощью взаимодействий со службой буфера обмена. Кроме того, особое внимание уделяется распознаванию потенциальных попыток повышения привилегий, что еще больше повышает операционную безопасность.

Будущие усовершенствования для GoClipC2 могут включать в себя дополнение для выполнения в процессе и улучшения, направленные на обфускацию следов выполнения с использованием большего количества встроенных функций Go, а не традиционных дочерних процессов, что указывает на непрерывную эволюцию тактики, направленной на усиление скрытой функциональности этой платформы C2 и уклонение от обнаружения механизмами безопасности в современных средах.

#ParsedReport #CompletenessHigh
20-06-2025

Shadow Vector targets Colombian users via privilege escalation and court-themed SVG decoys

https://www.acronis.com/en-us/cyber-protection-center/posts/shadow-vector-targets-colombian-users-via-privilege-escalation-and-court-themed-svg-decoys/

Report completeness: High

Actors/Campaigns:
Shadow_vector (motivation: information_theft, cyber_criminal, financially_motivated)

Threats:
Asyncrat
Dll_sideloading_technique
Spear-phishing_technique
Katz_loader
Uac_bypass_technique
Process_injection_technique
Smuggling_technique
Dllsearchorder_hijacking_technique
Process_hollowing_technique
Killproxy_tool
Anydesk_tool
Remcos_rat
Zemana_tool
Icarus
Putty_tool

Victims:
Individuals, Organizations, Judicial employees, Citizens

Industry:
Financial, Transport

Geo:
Colombian, Portuguese, Latin american, Brazil, Colombia, Brazilian, Latin america, Spanish

CVEs:
CVE-2022-42045 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- watchdog anti-virus (4.1.422)
- zemana antimalware (3.2.28)

CVE-2023-1486 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- wisecleaner wise force deleter (1.5.3.54)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1005, T1021.001, T1027, T1027.002, T1041, T1053.005, T1055.012, T1056.001, T1057, have more...

IOCs:
Hash: 157
File: 30
Domain: 1
Coin: 1
Command: 3
Path: 1

Soft:
Dropbox, Discord, VirtualBox, Ledger_Live, Chrome

Wallets:
ergo_wallet, exodus_wallet, coinomi, bitcoincore

Crypto:
binance

Algorithms:
base64, sha256, zip, rc4, xor, aes

Functions:
BrotliEncoderCreateInstance, Windows, ProcessStartInfo, SetWindowsHookEx, HookCallback, Plugins

Win API:
NtAllocateVirtualMemory, GetProcessHeap, RtlAllocateHeap, NtWriteVirtualMemory, NtResumeThread, CheckRemoteDebuggerPresent, Decompress, GetFileVersionInfoSizeW, GetProcAddress, Process32First, have more...

Win Services:
ekrn, mfemms, McShield, AvastSvc, MsMpEng

Languages:
javascript, powershell

YARA: Found

Links:
https://github.com/Neo23x0/signature-base/blob/master/yara/mal\_katz\_stealer.yar
https://github.com/Securityinbits/AsyncRAT-Analysis/blob/main/CyberChef\_Recipe.md

#ParsedReport #ExtractedSchema

Classified images:
dump: 5, windows: 4, schema: 2, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Shadow Vector, нацеленная на пользователей в Колумбии, использует фишинговые электронные письма с файлами SVG для предоставления инструментов удаленного доступа, таких как AsyncRAT, с помощью сторонней загрузки DLL. В кампании используются такие методы, как обход контроля учетных записей, антианализ и контрабанда SVG, а также общедоступные платформы обмена файлами для доставки полезной информации, что усложняет работу по установлению авторства.
-----

Недавняя вредоносная кампания, выявленная подразделением Acronis по исследованию угроз, получившая название Shadow Vector, нацелена на пользователей в Колумбии с помощью тщательно разработанных фишинговых электронных писем, которые доставляют вредоносные файлы масштабируемой векторной графики (SVG). Эти электронные письма выдают себя за доверенные учреждения, такие как судебная система Колумбии, и содержат ссылки на JavaScript и VBS stagers или ZIP-файлы, защищенные паролем. Основная полезная нагрузка включает в себя инструменты удаленного доступа (RAT), такие как AsyncRAT и Remcos, которые предоставляются с помощью сторонней загрузки библиотек DLL и методов повышения привилегий на основе драйверов. Примечательно, что в кампании используется сложная многоступенчатая обфускация и загрузчик .NET, аналогичный загрузчику Katz. Этот загрузчик оснащен механизмами обхода контроля учетных записей, антианализа, внедрения процессов и сохранения.

Файлы SVG заслуживают особого внимания, поскольку в них используется технология, известная как контрабанда SVG, - это подтекст платформы MITRE ATT&CK, которая использует гибкие и надежные атрибуты файлов SVG для обхода традиционных средств контроля безопасности. Как только жертва открывает файл SVG, он направляет ее на загрузку вредоносной полезной информации, размещенной на законных платформах, таких как Bitbucket и Dropbox. Загружаемые файлы обычно состоят из доброкачественного исполняемого файла и защищенных библиотек DLL, одна из которых злонамеренно загружается для запуска полезной нагрузки AsyncRAT.

Еще один уровень сложности возникает при использовании методов сторонней загрузки библиотек DLL и обхода процессов. Исходный исполняемый файл маскируется под обычный файл, который загружает вредоносную библиотеку DLL. Такой подход позволяет коду злоумышленников выполняться в рамках доверенного процесса, что позволяет избежать обнаружения и в то же время способствует масштабному взлому системы, включая кейлоггинг и кражу учетных данных.

В последнее время кампания Shadow Vector, похоже, развивается в направлении внедрения модульной полезной нагрузки и дополнительных методов атаки. Это включает в себя использование файлов JavaScript, которые инициируют дальнейшие вредоносные действия, загружая полезные библиотеки DLL непосредственно в память, что сводит к минимуму объем данных, оставляемых на диске. Вредоносная программа также реализует динамические функции, такие как защита от отладки и проверка наличия сред виртуализации, чтобы избежать обнаружения во время анализа.

В ходе кампании широко используется обфускация со сложными механизмами обмена данными и управления, а также выполнения полезной нагрузки. Например, вредоносная программа может динамически расшифровывать конфигурации, используя встроенные ключи AES, и устанавливать различные способы подключения к своей инфраструктуре C2, обеспечивая устойчивую связь даже в неблагоприятных условиях.

Кроме того, использование общедоступных платформ обмена файлами для размещения вредоносных программ демонстрирует стратегическую эволюцию тактики ведения операций, что усложняет выявление причин этих атак. Встроенные в вредоносную программу языковые индикаторы указывают на потенциальные связи с португалоязычными хакерами, предполагая возможное повторное использование кода или сотрудничество между киберпреступными группами.

#ParsedReport #CompletenessLow
20-06-2025

LUMMA STEALER STILL ACTIVE? AFTER FBICRACKDOWN!

https://theravenfile.com/2025/05/23/lumma-stealer-still-active-after-fbi-crackdown/

Report completeness: Low

Threats:
Lumma_stealer

ChatGPT TTPs:
do not use without manual check
T1005, T1071.001

IOCs:
IP: 11
Domain: 16

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma Stealer, вредоносная программа для инфокрадов, быстро возродилась после расследования ФБР и продемонстрировала устойчивость, продолжая продавать собранные учетные данные с помощью автоматизированных ботов Telegram, что указывает на продолжающиеся операции и адаптивность хакеров.
-----

Расследование в отношении Lumma Stealer выявило устойчивость этой вредоносной программы infostealer, которая вновь появилась всего через несколько часов после масштабных действий ФБР 28 мая 2025 года. Эта операция привела к ликвидации сети Lumma Stealer, которая была причастна к более чем 10 миллионам случаев заражения по всему миру. Несмотря на усилия правоохранительных органов, направленные на пресечение этой угрозы, злоумышленник Lumma Stealer, похоже, быстро адаптировался и восстановил свои позиции в сфере киберпреступности.

После репрессий автоматизированные боты Telegram начали повторно предлагать украденные учетные данные, которые были собраны Lumma Stealer. По состоянию на 30 мая 2025 года, в отчетах указывалось, что один такой бот выставлял на продажу 95 наборов учетных данных из 41 страны. В последующие дни количество журналов, доступных для продажи, увеличилось до 406, что указывает на постоянный приток украденных данных. Это говорит о продолжающейся операции, возможно, с использованием избыточности в их инфраструктуре или использованием новой тактики для обхода сбоев, вызванных действиями правоохранительных органов.

Устойчивость Lumma Stealer подчеркивает трудности, с которыми сталкиваются кибербезопасные компании при полном уничтожении подобных вредоносных программ. Способность хакеров быстро мобилизоваться и продолжать свою деятельность после удаления вредоносного ПО отражает необходимость постоянного мониторинга и стратегий адаптивного реагирования в области киберзащиты. Случай с Ламмой Стилер служит ярким напоминанием о постоянной игре в кошки-мышки между инициативами в области кибербезопасности и развивающимися хакерами.

#ParsedReport #CompletenessLow
20-06-2025

Cato CTRL Threat Research: PoC Attack Targeting Atlassians Model Context Protocol (MCP) Introduces New Living off AI Risk

https://www.catonetworks.com/blog/cato-ctrl-poc-attack-targeting-atlassians-mcp/

Report completeness: Low

Threats:
Living_off_ai_technique

Victims:
Atlassian, Company a, Support engineers, Qa engineers, Internal users

ChatGPT TTPs:
do not use without manual check
T1059.007, T1071.001, T1105, T1204.001, T1555, T1566.002, T1567

Soft:
Confluence

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака "Living off AI" нацелена на уязвимости в корпоративных системах, интегрированных с ИИ, что позволяет хакерам использовать отправку вредоносных запросов. Проверка концепции демонстрирует, как злоумышленники могут получить привилегированный доступ и инициировать установку вредоносного ПО, что приводит к краже учетных данных и утечке данных из системы.
-----

Недавние достижения в области внедрения искусственного интеллекта в рабочие процессы предприятия, в частности, с помощью протокола Model Context Protocol (MCP) от Atlassian, привели к появлению новой формы хакерской атаки, получившей название "Living off AI". Этот риск возникает из-за того, что хакеры могут использовать уязвимости во взаимодействии между внешними пользователями и внутренними системами, использующими искусственный интеллект. В сценарии, описываемом атакой с проверкой концепции (PoC), внешний пользователь может отправить вредоносный запрос, который затем запускает вредоносные действия, выполняемые с привилегиями внутреннего пользователя.

MCP, встроенный в такие инструменты, как Jira Service Management (JSM), позволяет персоналу службы поддержки использовать искусственный интеллект для выполнения различных задач, таких как обобщение заявок и предоставление автоматических ответов. Эта функциональность предназначена для повышения эффективности рабочего процесса, но непреднамеренно создает возможности для эксплуатации. В продемонстрированном PoC злоумышленник отправляет обработанный запрос в службу поддержки, который включает в себя полезную информацию для быстрого внедрения, используя отсутствие изолированной среды и контроля контекста. Внутренний пользователь, неосознанно действующий как прокси-сервер, выполняет эту вредоносную полезную информацию, предоставляя злоумышленнику привилегированный доступ.

Кроме того, в PoC описан метод, при котором злоумышленник отправляет запрос, содержащий вводящие в заблуждение ссылки на поддельную страницу Confluence, обманом заставляя сотрудников перейти по ней. Когда инженер по обеспечению качества (QA) взаимодействует с link, он непреднамеренно устанавливает соединение с сервером управления (C2), что приводит к установке вредоносного ПО, которое позволяет красть учетные данные и перемещаться по сети. Эта последовательность событий подчеркивает потенциальную возможность утечки данных, уничтожения и вредоносных действий, возникающих в результате первоначального взлома, демонстрируя более широкие последствия модели атаки "Living off AI".

#ParsedReport #CompletenessLow
20-06-2025

Anondoor discloses The latest componentized backdoor of the Confucius

https://medium.com/@knownsec404team/anondoor-discloses-the-latest-componentized-backdoor-of-the-confucius-cc59ac5d1a81?source=rss-f1efd6b74751------2

Report completeness: Low

Actors/Campaigns:
Apt59 (motivation: cyber_espionage)

Threats:
Anondoor
Wooperstealer

Victims:
Government units, Military units

Industry:
Government, Military

Geo:
Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1105, T1112, T1204.002, T1218.005, T1547.001, T1553.002

IOCs:
File: 3
Hash: 1

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Confucius group разработала свою стратегию атаки, используя усовершенствованный инструмент бэкдора под названием "anondoor" для запуска модифицированного троянца-загрузчика "wooperstealer". Этот метод повышает устойчивость за счет параметров, выдаваемых сервером, что усложняет усилия по обнаружению и отслеживанию. Использование ими параметризованной системы связи командования и контроля еще больше повышает скрытность и обфускационные возможности.
-----

Группа "Конфуций", известная своими шпионскими операциями с 2013 года, нацелена на правительственные и военные структуры в основном в Южной и Восточной Азии. Недавно команда 404 Advanced Threat Intelligence из Knownsec обнаружила усовершенствования в своей методологии атак, выделив усовершенствованный инструмент, известный как "anondoor". Этот компонент функционирует как бэкдор и отвечает за запуск модифицированного троянца-загрузчика, который, в свою очередь, загружает вредоносную программу, идентифицированную как "wooperstealer"..

Anondoor представляет собой значительную эволюцию в стратегии атаки Confucius, в результате которой функция поддержания постоянства была перенесена со сценариев начальной стадии на этот недавно разработанный бэкдор. Ранее механизмы сохранения включали создание самозапускающихся разделов реестра непосредственно в сценариях. В новом методе эта сохраняемость встроена в anondoor, что впоследствии облегчает загрузку необходимых компонентов с сервера на основе полученных команд.

Механизм anondoor включает в себя множество компонентов, а жизненно важная связь обеспечивается с помощью параметров, выдаваемых сервером. Например, он извлекает необходимый адрес загрузки для последующих полезных загрузок, таких как wooperstealer, на более ранних этапах, вместо того, чтобы жестко кодировать эти адреса в самих компонентах. Следовательно, такая обфускация делает обычное антивирусное программное обеспечение неэффективным, поскольку текущие показатели обнаружения и удаления являются тревожно низкими.

Метод атаки заключается в использовании файлов LNK, из которых скрипты загружают различные необходимые файлы, в том числе "python313.dll" как анонимный и легитимный исполняемый файл на Python, замаскированный под "BlueAle.exe ." Когда это приложение запускается, оно запускает anondoor, позволяя использовать дополнительные функциональные возможности бэкдора с помощью определенных идентификаторов модулей и соответствующих URL-адресов.

Более того, использование компанией Confucius group параметризованного подхода к командованию и контролю (C2) обеспечивает необходимый уровень скрытности. Это позволяет злоумышленникам скрывать свою реальную инфраструктуру C2, усложняя задачу отслеживания для защитников. Неоднократные усовершенствования в арсенале атак демонстрируют мастерство группы в технологической адаптации, переходя от простых подходов, основанных на троянах, к сложным модульным системам бэкдоров, которые значительно расширяют спектр угроз.

#ParsedReport #CompletenessMedium
20-06-2025

SpyMax - A Fake Wedding Invitation App Targeting Indian Mobile Users

https://labs.k7computing.com/index.php/spymax-a-fake-wedding-invitation-app-targeting-indian-mobile-users/

Report completeness: Medium

Threats:
Spymax

Industry:
Financial

Geo:
Indian

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 3
IP: 1
Hash: 2

Soft:
Android, WhatsApp, Google Play, Twitter

Algorithms:
gzip