#ParsedReport #ExtractedSchema

Classified images:
dump: 5, windows: 4, schema: 2, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Shadow Vector, нацеленная на пользователей в Колумбии, использует фишинговые электронные письма с файлами SVG для предоставления инструментов удаленного доступа, таких как AsyncRAT, с помощью сторонней загрузки DLL. В кампании используются такие методы, как обход контроля учетных записей, антианализ и контрабанда SVG, а также общедоступные платформы обмена файлами для доставки полезной информации, что усложняет работу по установлению авторства.
-----

Недавняя вредоносная кампания, выявленная подразделением Acronis по исследованию угроз, получившая название Shadow Vector, нацелена на пользователей в Колумбии с помощью тщательно разработанных фишинговых электронных писем, которые доставляют вредоносные файлы масштабируемой векторной графики (SVG). Эти электронные письма выдают себя за доверенные учреждения, такие как судебная система Колумбии, и содержат ссылки на JavaScript и VBS stagers или ZIP-файлы, защищенные паролем. Основная полезная нагрузка включает в себя инструменты удаленного доступа (RAT), такие как AsyncRAT и Remcos, которые предоставляются с помощью сторонней загрузки библиотек DLL и методов повышения привилегий на основе драйверов. Примечательно, что в кампании используется сложная многоступенчатая обфускация и загрузчик .NET, аналогичный загрузчику Katz. Этот загрузчик оснащен механизмами обхода контроля учетных записей, антианализа, внедрения процессов и сохранения.

Файлы SVG заслуживают особого внимания, поскольку в них используется технология, известная как контрабанда SVG, - это подтекст платформы MITRE ATT&CK, которая использует гибкие и надежные атрибуты файлов SVG для обхода традиционных средств контроля безопасности. Как только жертва открывает файл SVG, он направляет ее на загрузку вредоносной полезной информации, размещенной на законных платформах, таких как Bitbucket и Dropbox. Загружаемые файлы обычно состоят из доброкачественного исполняемого файла и защищенных библиотек DLL, одна из которых злонамеренно загружается для запуска полезной нагрузки AsyncRAT.

Еще один уровень сложности возникает при использовании методов сторонней загрузки библиотек DLL и обхода процессов. Исходный исполняемый файл маскируется под обычный файл, который загружает вредоносную библиотеку DLL. Такой подход позволяет коду злоумышленников выполняться в рамках доверенного процесса, что позволяет избежать обнаружения и в то же время способствует масштабному взлому системы, включая кейлоггинг и кражу учетных данных.

В последнее время кампания Shadow Vector, похоже, развивается в направлении внедрения модульной полезной нагрузки и дополнительных методов атаки. Это включает в себя использование файлов JavaScript, которые инициируют дальнейшие вредоносные действия, загружая полезные библиотеки DLL непосредственно в память, что сводит к минимуму объем данных, оставляемых на диске. Вредоносная программа также реализует динамические функции, такие как защита от отладки и проверка наличия сред виртуализации, чтобы избежать обнаружения во время анализа.

В ходе кампании широко используется обфускация со сложными механизмами обмена данными и управления, а также выполнения полезной нагрузки. Например, вредоносная программа может динамически расшифровывать конфигурации, используя встроенные ключи AES, и устанавливать различные способы подключения к своей инфраструктуре C2, обеспечивая устойчивую связь даже в неблагоприятных условиях.

Кроме того, использование общедоступных платформ обмена файлами для размещения вредоносных программ демонстрирует стратегическую эволюцию тактики ведения операций, что усложняет выявление причин этих атак. Встроенные в вредоносную программу языковые индикаторы указывают на потенциальные связи с португалоязычными хакерами, предполагая возможное повторное использование кода или сотрудничество между киберпреступными группами.

#ParsedReport #CompletenessLow
20-06-2025

LUMMA STEALER STILL ACTIVE? AFTER FBICRACKDOWN!

https://theravenfile.com/2025/05/23/lumma-stealer-still-active-after-fbi-crackdown/

Report completeness: Low

Threats:
Lumma_stealer

ChatGPT TTPs:
do not use without manual check
T1005, T1071.001

IOCs:
IP: 11
Domain: 16

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma Stealer, вредоносная программа для инфокрадов, быстро возродилась после расследования ФБР и продемонстрировала устойчивость, продолжая продавать собранные учетные данные с помощью автоматизированных ботов Telegram, что указывает на продолжающиеся операции и адаптивность хакеров.
-----

Расследование в отношении Lumma Stealer выявило устойчивость этой вредоносной программы infostealer, которая вновь появилась всего через несколько часов после масштабных действий ФБР 28 мая 2025 года. Эта операция привела к ликвидации сети Lumma Stealer, которая была причастна к более чем 10 миллионам случаев заражения по всему миру. Несмотря на усилия правоохранительных органов, направленные на пресечение этой угрозы, злоумышленник Lumma Stealer, похоже, быстро адаптировался и восстановил свои позиции в сфере киберпреступности.

После репрессий автоматизированные боты Telegram начали повторно предлагать украденные учетные данные, которые были собраны Lumma Stealer. По состоянию на 30 мая 2025 года, в отчетах указывалось, что один такой бот выставлял на продажу 95 наборов учетных данных из 41 страны. В последующие дни количество журналов, доступных для продажи, увеличилось до 406, что указывает на постоянный приток украденных данных. Это говорит о продолжающейся операции, возможно, с использованием избыточности в их инфраструктуре или использованием новой тактики для обхода сбоев, вызванных действиями правоохранительных органов.

Устойчивость Lumma Stealer подчеркивает трудности, с которыми сталкиваются кибербезопасные компании при полном уничтожении подобных вредоносных программ. Способность хакеров быстро мобилизоваться и продолжать свою деятельность после удаления вредоносного ПО отражает необходимость постоянного мониторинга и стратегий адаптивного реагирования в области киберзащиты. Случай с Ламмой Стилер служит ярким напоминанием о постоянной игре в кошки-мышки между инициативами в области кибербезопасности и развивающимися хакерами.

#ParsedReport #CompletenessLow
20-06-2025

Cato CTRL Threat Research: PoC Attack Targeting Atlassians Model Context Protocol (MCP) Introduces New Living off AI Risk

https://www.catonetworks.com/blog/cato-ctrl-poc-attack-targeting-atlassians-mcp/

Report completeness: Low

Threats:
Living_off_ai_technique

Victims:
Atlassian, Company a, Support engineers, Qa engineers, Internal users

ChatGPT TTPs:
do not use without manual check
T1059.007, T1071.001, T1105, T1204.001, T1555, T1566.002, T1567

Soft:
Confluence

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака "Living off AI" нацелена на уязвимости в корпоративных системах, интегрированных с ИИ, что позволяет хакерам использовать отправку вредоносных запросов. Проверка концепции демонстрирует, как злоумышленники могут получить привилегированный доступ и инициировать установку вредоносного ПО, что приводит к краже учетных данных и утечке данных из системы.
-----

Недавние достижения в области внедрения искусственного интеллекта в рабочие процессы предприятия, в частности, с помощью протокола Model Context Protocol (MCP) от Atlassian, привели к появлению новой формы хакерской атаки, получившей название "Living off AI". Этот риск возникает из-за того, что хакеры могут использовать уязвимости во взаимодействии между внешними пользователями и внутренними системами, использующими искусственный интеллект. В сценарии, описываемом атакой с проверкой концепции (PoC), внешний пользователь может отправить вредоносный запрос, который затем запускает вредоносные действия, выполняемые с привилегиями внутреннего пользователя.

MCP, встроенный в такие инструменты, как Jira Service Management (JSM), позволяет персоналу службы поддержки использовать искусственный интеллект для выполнения различных задач, таких как обобщение заявок и предоставление автоматических ответов. Эта функциональность предназначена для повышения эффективности рабочего процесса, но непреднамеренно создает возможности для эксплуатации. В продемонстрированном PoC злоумышленник отправляет обработанный запрос в службу поддержки, который включает в себя полезную информацию для быстрого внедрения, используя отсутствие изолированной среды и контроля контекста. Внутренний пользователь, неосознанно действующий как прокси-сервер, выполняет эту вредоносную полезную информацию, предоставляя злоумышленнику привилегированный доступ.

Кроме того, в PoC описан метод, при котором злоумышленник отправляет запрос, содержащий вводящие в заблуждение ссылки на поддельную страницу Confluence, обманом заставляя сотрудников перейти по ней. Когда инженер по обеспечению качества (QA) взаимодействует с link, он непреднамеренно устанавливает соединение с сервером управления (C2), что приводит к установке вредоносного ПО, которое позволяет красть учетные данные и перемещаться по сети. Эта последовательность событий подчеркивает потенциальную возможность утечки данных, уничтожения и вредоносных действий, возникающих в результате первоначального взлома, демонстрируя более широкие последствия модели атаки "Living off AI".

#ParsedReport #CompletenessLow
20-06-2025

Anondoor discloses The latest componentized backdoor of the Confucius

https://medium.com/@knownsec404team/anondoor-discloses-the-latest-componentized-backdoor-of-the-confucius-cc59ac5d1a81?source=rss-f1efd6b74751------2

Report completeness: Low

Actors/Campaigns:
Apt59 (motivation: cyber_espionage)

Threats:
Anondoor
Wooperstealer

Victims:
Government units, Military units

Industry:
Government, Military

Geo:
Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1105, T1112, T1204.002, T1218.005, T1547.001, T1553.002

IOCs:
File: 3
Hash: 1

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Confucius group разработала свою стратегию атаки, используя усовершенствованный инструмент бэкдора под названием "anondoor" для запуска модифицированного троянца-загрузчика "wooperstealer". Этот метод повышает устойчивость за счет параметров, выдаваемых сервером, что усложняет усилия по обнаружению и отслеживанию. Использование ими параметризованной системы связи командования и контроля еще больше повышает скрытность и обфускационные возможности.
-----

Группа "Конфуций", известная своими шпионскими операциями с 2013 года, нацелена на правительственные и военные структуры в основном в Южной и Восточной Азии. Недавно команда 404 Advanced Threat Intelligence из Knownsec обнаружила усовершенствования в своей методологии атак, выделив усовершенствованный инструмент, известный как "anondoor". Этот компонент функционирует как бэкдор и отвечает за запуск модифицированного троянца-загрузчика, который, в свою очередь, загружает вредоносную программу, идентифицированную как "wooperstealer"..

Anondoor представляет собой значительную эволюцию в стратегии атаки Confucius, в результате которой функция поддержания постоянства была перенесена со сценариев начальной стадии на этот недавно разработанный бэкдор. Ранее механизмы сохранения включали создание самозапускающихся разделов реестра непосредственно в сценариях. В новом методе эта сохраняемость встроена в anondoor, что впоследствии облегчает загрузку необходимых компонентов с сервера на основе полученных команд.

Механизм anondoor включает в себя множество компонентов, а жизненно важная связь обеспечивается с помощью параметров, выдаваемых сервером. Например, он извлекает необходимый адрес загрузки для последующих полезных загрузок, таких как wooperstealer, на более ранних этапах, вместо того, чтобы жестко кодировать эти адреса в самих компонентах. Следовательно, такая обфускация делает обычное антивирусное программное обеспечение неэффективным, поскольку текущие показатели обнаружения и удаления являются тревожно низкими.

Метод атаки заключается в использовании файлов LNK, из которых скрипты загружают различные необходимые файлы, в том числе "python313.dll" как анонимный и легитимный исполняемый файл на Python, замаскированный под "BlueAle.exe ." Когда это приложение запускается, оно запускает anondoor, позволяя использовать дополнительные функциональные возможности бэкдора с помощью определенных идентификаторов модулей и соответствующих URL-адресов.

Более того, использование компанией Confucius group параметризованного подхода к командованию и контролю (C2) обеспечивает необходимый уровень скрытности. Это позволяет злоумышленникам скрывать свою реальную инфраструктуру C2, усложняя задачу отслеживания для защитников. Неоднократные усовершенствования в арсенале атак демонстрируют мастерство группы в технологической адаптации, переходя от простых подходов, основанных на троянах, к сложным модульным системам бэкдоров, которые значительно расширяют спектр угроз.

#ParsedReport #CompletenessMedium
20-06-2025

SpyMax - A Fake Wedding Invitation App Targeting Indian Mobile Users

https://labs.k7computing.com/index.php/spymax-a-fake-wedding-invitation-app-targeting-indian-mobile-users/

Report completeness: Medium

Threats:
Spymax

Industry:
Financial

Geo:
Indian

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 3
IP: 1
Hash: 2

Soft:
Android, WhatsApp, Google Play, Twitter

Algorithms:
gzip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания нацелена на индийских пользователей мобильных устройств с помощью сообщений с "приглашениями на свадьбу", которые доставляют Android SpyMax, программу, которая удаляет конфиденциальные данные. Она перехватывает нажатия клавиш, уведомления о двухфакторной аутентификации и отправляет данные на сервер управления. Пользователям рекомендуется избегать установки приложений из неофициальных источников, чтобы защитить свою информацию.
-----

Недавние сообщения указывают на фишинговую кампанию, направленную против индийских пользователей мобильных устройств с помощью мошеннических сообщений-приглашений на свадьбу, распространяемых через WhatsApp. Вредоносное ПО под названием Android SpyMax функционирует как инструмент удаленного администрирования (RAT), предназначенный для скрытого сбора и утечки конфиденциальной личной информации с зараженных устройств. Эта атака обычно начинается, когда пользователи загружают APK-файл, обещающий приглашение на свадьбу, который при установке запрашивает чрезмерные разрешения под видом законного приложения.

Процесс установки включает установку вредоносного APK-файла в качестве домашнего приложения по умолчанию и включение установки дополнительных несанкционированных приложений. Это часто сопровождается вводящим в заблуждение уведомлением об обновлении системы, в то время как вредоносная программа работает в фоновом режиме, устанавливая дополнительное приложение, идентифицируемое как "com.android.pictach". После запуска RAT использует права пользователя, чтобы действовать как троянский конь, оснащенный функцией кейлоггинга. Он регистрирует нажатия клавиш, собирая конфиденциальную информацию, такую как банковские реквизиты и OTP-запросы, которые заносятся в специальный каталог на устройстве.

Кроме того, SpyMax перехватывает уведомления через AccessibilityEvents, извлекая важные данные, включая коды двухфакторной аутентификации и сообщения из таких приложений, как WhatsApp. Затем захваченные данные сжимаются и отправляются на сервер управления (C2), расположенный по скрытому IP-адресу 104.234.167.145 через порт 7860, что облегчает потенциальный несанкционированный перевод средств, позволяя злоумышленникам получить полный контроль над устройством жертвы.

Поведение вредоносной программы указывает на проверку наличия продуктов мобильной безопасности на устройстве жертвы, что может привести к их отключению или отправке обратной информации со злым умыслом. В качестве превентивной меры пользователям настоятельно рекомендуется проявлять осторожность при обмене личной информацией и установке приложений из источников, не входящих в официальный магазин Google Play, подчеркивая важность обеспечения безопасности мобильных устройств и регулярного обновления устройств для защиты от подобных угроз.

#ParsedReport #CompletenessLow
20-06-2025

SHOE RACK

https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/shoe-rack-tipper/ncsc-tip-shoe_rack.pdf

Report completeness: Low

Threats:
Shoe_rack

Victims:
Fortinet

ChatGPT TTPs:
do not use without manual check
T1059.004, T1071.002, T1071.004, T1090, T1219, T1572, T1588.002

IOCs:
IP: 1
Domain: 1
Hash: 3

Soft:
Linux

Algorithms:
sha256, md5, sha1

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SHOE RACK - это вредоносная программа, нацеленная на брандмауэры FortiGate 100D, использующая SSH для необычных тактик, включая DNS-over-HTTPS для связи C2. Она устанавливает обратные соединения через модифицированный SSH, что позволяет проводить дальнейшие атаки, такие как выполнение команд и создание интерактивных оболочек.
-----

SHOE RACK - это вредоносная программа, использующая нетрадиционное использование протокола Secure Shell (SSH), в первую очередь для брандмауэров серии FortiGate 100D производства Fortinet. Его работа предполагает использование протокола DNS-over-HTTPS (DOH) для определения IP-адреса для своего сервера управления (C2), который жестко задан как phcia.duckdns.org. Вредоносная программа, разработанная на языке программирования Go 1.18, демонстрирует свои вредоносные возможности с помощью метода обратного SSH-подключения, который изменяет общедоступную реализацию, известную как NHAS.

После запуска вредоносная программа подключается к пользовательскому SSH-серверу по протоколу TCP/TLS, инициируя обмен данными по протоколу SSH-2.0. Интересно, что она вводя в заблуждение, рекламирует себя как SSH версии 1.1.3. После успешного установления SSH-соединения вредоносная программа переходит в состояние ожидания открытия канала сервером C2. Это взаимодействие нетипично, поскольку поддерживаются два типа каналов: стандартный сеансовый и нестандартный "переходный". Последнее позволяет SHOE RACK создавать обратный SSH-туннель в рамках существующего сеанса, а не инициировать новое соединение, что фактически позволяет вредоносному ПО выступать в качестве SSH-сервера.

SHOE RACK также содержит список нескольких подсистем, которые могут быть запущены во время его работы, включая протокол SFTP, операции системного вызова Linux для setgid, setuid, возможность выполнения команд и создания интерактивных оболочек и псевдотерминалов. Вредоносное ПО, по-видимому, создано хакерами, которые, вероятно, модифицировали инструменты с открытым исходным кодом для достижения своих целей по нарушению сетевой безопасности и подключению к локальной сети (LAN) после взлома.

Кроме того, на основе значений таймера отображаются индикаторы выполняемых операций, которые могут быть использованы для дальнейших вредоносных действий. В целом, поведение SHOE RACK свидетельствует о сложном подходе к использованию SSH для взлома инфраструктуры, что подчеркивает необходимость принятия надежных мер безопасности против таких целенаправленных атак.

#ParsedReport #CompletenessLow
20-06-2025

Zooming through BlueNoroff Indicators with Validin

https://www.validin.com/blog/zooming_through_bluenoroff_pivots/

Report completeness: Low

Actors/Campaigns:
Bluenoroff (motivation: financially_motivated)
Lazarus (motivation: financially_motivated)

Victims:
Web3 organization

Geo:
North korea, Dprk

ChatGPT TTPs:
do not use without manual check
T1070.008, T1105, T1566.001, T1583.001, T1583.002, T1584.001

IOCs:
Domain: 273
IP: 17
Hash: 2

Soft:
Zoom, Telegram

Algorithms:
sha1

Links:
https://github.com/stamparm/maltrail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследовательская группа Huntress выявила сложную атаку BlueNoroff group на организацию Web3 с использованием фишинга и бэкдоров в домене криптовалюты. В основе атаки лежало вредоносное расширение Zoom, распространяемое через Telegram, с доменом support.us05web-zoom.biz скрывает свои истинные намерения, переключаясь на доброкачественные IP-адреса. В ходе расследования был использован анализ DNS для выявления 200 дополнительных доменов, связанных с этой государственной угрозой.
-----

Недавнее расследование, проведенное исследовательской группой Huntress, выявило изощренную атаку на организацию Web3, приписываемую BlueNoroff group, финансово мотивированной фракции северокорейской Lazarus Group. Это целенаправленное вторжение включало в себя разнообразные методы, включая фишинговые приманки и бэкдоры, направленные на поддержание скрытого контроля над скомпрометированными системами в сфере криптовалют.

В центре атаки был домен support.us05web-zoom.biz, на котором размещалось вредоносное расширение Zoom, отправленное жертве через Telegram после участия в организованном собрании Zoom. Примечательно, что в истории DNS домена была обнаружена необычная закономерность, в основном связанная с общедоступным DNS-сервером Google (8.8.8.8). Этот метод указания на хорошо известные безопасные IP-адреса является распространенной тактикой киберпреступников, позволяющей скрыть обнаружение вредоносных действий. Расследование предполагает, что домен мог на короткое время перейти на вредоносный IP-адрес, контролируемый злоумышленниками, что соответствовало их оперативной секретности.

Используя инструменты анализа DNS, команда смогла перейти от безопасного IP-адреса к идентификации других доменных имен, настроенных аналогичным образом, сосредоточив внимание на тех доменах верхнего уровня .biz, которые были связаны с расширением Zoom. На этом этапе было получено 125 релевантных результатов, которые аналитики отфильтровали по таким ключевым словам, как "масштабирование", "знакомство", "веб" и "поддержка", чтобы выявить потенциально связанные с вредоносными доменами домены. По мере продвижения расследования исследователи собрали 36 показателей в рамках специального проекта для BlueNoroff, что позволило глубже изучить инфраструктуру, поддерживающую эту атаку.

Исторические данные связывали поддомен www.us05web-zoom.biz с IP-адресом (23.254.247.53), известным своей активностью в КНДР. Дальнейший поиск по этому IP-адресу привел к появлению множества других доменов, связанных с Zoom, с заметным всплеском активности в период с ноября 2024 по июнь 2025 года, что указывает на организованное возобновление связанных с этим атак. Систематически уточняя свои данные с помощью DNS, подключений к хостам и процессов регистрации, исследовательская группа обнаружила около 200 дополнительных доменов и сотни поддоменов, которые, вероятно, связаны с кампанией BlueNoroff.

Это расследование является примером тщательного подхода, необходимого для отслеживания меняющегося ландшафта хакерских атак, особенно тех, которые исходят от спонсируемых государством организаций, таких как BlueNoroff. Способность заблаговременно выявлять и отслеживать эту угрозу обеспечивает критически важную информацию для организаций, работающих в уязвимых секторах, таких как криптовалюта, повышая эффективность стратегий защиты от целевых кампаний.