#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Confucius group разработала свою стратегию атаки, используя усовершенствованный инструмент бэкдора под названием "anondoor" для запуска модифицированного троянца-загрузчика "wooperstealer". Этот метод повышает устойчивость за счет параметров, выдаваемых сервером, что усложняет усилия по обнаружению и отслеживанию. Использование ими параметризованной системы связи командования и контроля еще больше повышает скрытность и обфускационные возможности.
-----

Группа "Конфуций", известная своими шпионскими операциями с 2013 года, нацелена на правительственные и военные структуры в основном в Южной и Восточной Азии. Недавно команда 404 Advanced Threat Intelligence из Knownsec обнаружила усовершенствования в своей методологии атак, выделив усовершенствованный инструмент, известный как "anondoor". Этот компонент функционирует как бэкдор и отвечает за запуск модифицированного троянца-загрузчика, который, в свою очередь, загружает вредоносную программу, идентифицированную как "wooperstealer"..

Anondoor представляет собой значительную эволюцию в стратегии атаки Confucius, в результате которой функция поддержания постоянства была перенесена со сценариев начальной стадии на этот недавно разработанный бэкдор. Ранее механизмы сохранения включали создание самозапускающихся разделов реестра непосредственно в сценариях. В новом методе эта сохраняемость встроена в anondoor, что впоследствии облегчает загрузку необходимых компонентов с сервера на основе полученных команд.

Механизм anondoor включает в себя множество компонентов, а жизненно важная связь обеспечивается с помощью параметров, выдаваемых сервером. Например, он извлекает необходимый адрес загрузки для последующих полезных загрузок, таких как wooperstealer, на более ранних этапах, вместо того, чтобы жестко кодировать эти адреса в самих компонентах. Следовательно, такая обфускация делает обычное антивирусное программное обеспечение неэффективным, поскольку текущие показатели обнаружения и удаления являются тревожно низкими.

Метод атаки заключается в использовании файлов LNK, из которых скрипты загружают различные необходимые файлы, в том числе "python313.dll" как анонимный и легитимный исполняемый файл на Python, замаскированный под "BlueAle.exe ." Когда это приложение запускается, оно запускает anondoor, позволяя использовать дополнительные функциональные возможности бэкдора с помощью определенных идентификаторов модулей и соответствующих URL-адресов.

Более того, использование компанией Confucius group параметризованного подхода к командованию и контролю (C2) обеспечивает необходимый уровень скрытности. Это позволяет злоумышленникам скрывать свою реальную инфраструктуру C2, усложняя задачу отслеживания для защитников. Неоднократные усовершенствования в арсенале атак демонстрируют мастерство группы в технологической адаптации, переходя от простых подходов, основанных на троянах, к сложным модульным системам бэкдоров, которые значительно расширяют спектр угроз.

#ParsedReport #CompletenessMedium
20-06-2025

SpyMax - A Fake Wedding Invitation App Targeting Indian Mobile Users

https://labs.k7computing.com/index.php/spymax-a-fake-wedding-invitation-app-targeting-indian-mobile-users/

Report completeness: Medium

Threats:
Spymax

Industry:
Financial

Geo:
Indian

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 3
IP: 1
Hash: 2

Soft:
Android, WhatsApp, Google Play, Twitter

Algorithms:
gzip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания нацелена на индийских пользователей мобильных устройств с помощью сообщений с "приглашениями на свадьбу", которые доставляют Android SpyMax, программу, которая удаляет конфиденциальные данные. Она перехватывает нажатия клавиш, уведомления о двухфакторной аутентификации и отправляет данные на сервер управления. Пользователям рекомендуется избегать установки приложений из неофициальных источников, чтобы защитить свою информацию.
-----

Недавние сообщения указывают на фишинговую кампанию, направленную против индийских пользователей мобильных устройств с помощью мошеннических сообщений-приглашений на свадьбу, распространяемых через WhatsApp. Вредоносное ПО под названием Android SpyMax функционирует как инструмент удаленного администрирования (RAT), предназначенный для скрытого сбора и утечки конфиденциальной личной информации с зараженных устройств. Эта атака обычно начинается, когда пользователи загружают APK-файл, обещающий приглашение на свадьбу, который при установке запрашивает чрезмерные разрешения под видом законного приложения.

Процесс установки включает установку вредоносного APK-файла в качестве домашнего приложения по умолчанию и включение установки дополнительных несанкционированных приложений. Это часто сопровождается вводящим в заблуждение уведомлением об обновлении системы, в то время как вредоносная программа работает в фоновом режиме, устанавливая дополнительное приложение, идентифицируемое как "com.android.pictach". После запуска RAT использует права пользователя, чтобы действовать как троянский конь, оснащенный функцией кейлоггинга. Он регистрирует нажатия клавиш, собирая конфиденциальную информацию, такую как банковские реквизиты и OTP-запросы, которые заносятся в специальный каталог на устройстве.

Кроме того, SpyMax перехватывает уведомления через AccessibilityEvents, извлекая важные данные, включая коды двухфакторной аутентификации и сообщения из таких приложений, как WhatsApp. Затем захваченные данные сжимаются и отправляются на сервер управления (C2), расположенный по скрытому IP-адресу 104.234.167.145 через порт 7860, что облегчает потенциальный несанкционированный перевод средств, позволяя злоумышленникам получить полный контроль над устройством жертвы.

Поведение вредоносной программы указывает на проверку наличия продуктов мобильной безопасности на устройстве жертвы, что может привести к их отключению или отправке обратной информации со злым умыслом. В качестве превентивной меры пользователям настоятельно рекомендуется проявлять осторожность при обмене личной информацией и установке приложений из источников, не входящих в официальный магазин Google Play, подчеркивая важность обеспечения безопасности мобильных устройств и регулярного обновления устройств для защиты от подобных угроз.

#ParsedReport #CompletenessLow
20-06-2025

SHOE RACK

https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/shoe-rack-tipper/ncsc-tip-shoe_rack.pdf

Report completeness: Low

Threats:
Shoe_rack

Victims:
Fortinet

ChatGPT TTPs:
do not use without manual check
T1059.004, T1071.002, T1071.004, T1090, T1219, T1572, T1588.002

IOCs:
IP: 1
Domain: 1
Hash: 3

Soft:
Linux

Algorithms:
sha256, md5, sha1

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SHOE RACK - это вредоносная программа, нацеленная на брандмауэры FortiGate 100D, использующая SSH для необычных тактик, включая DNS-over-HTTPS для связи C2. Она устанавливает обратные соединения через модифицированный SSH, что позволяет проводить дальнейшие атаки, такие как выполнение команд и создание интерактивных оболочек.
-----

SHOE RACK - это вредоносная программа, использующая нетрадиционное использование протокола Secure Shell (SSH), в первую очередь для брандмауэров серии FortiGate 100D производства Fortinet. Его работа предполагает использование протокола DNS-over-HTTPS (DOH) для определения IP-адреса для своего сервера управления (C2), который жестко задан как phcia.duckdns.org. Вредоносная программа, разработанная на языке программирования Go 1.18, демонстрирует свои вредоносные возможности с помощью метода обратного SSH-подключения, который изменяет общедоступную реализацию, известную как NHAS.

После запуска вредоносная программа подключается к пользовательскому SSH-серверу по протоколу TCP/TLS, инициируя обмен данными по протоколу SSH-2.0. Интересно, что она вводя в заблуждение, рекламирует себя как SSH версии 1.1.3. После успешного установления SSH-соединения вредоносная программа переходит в состояние ожидания открытия канала сервером C2. Это взаимодействие нетипично, поскольку поддерживаются два типа каналов: стандартный сеансовый и нестандартный "переходный". Последнее позволяет SHOE RACK создавать обратный SSH-туннель в рамках существующего сеанса, а не инициировать новое соединение, что фактически позволяет вредоносному ПО выступать в качестве SSH-сервера.

SHOE RACK также содержит список нескольких подсистем, которые могут быть запущены во время его работы, включая протокол SFTP, операции системного вызова Linux для setgid, setuid, возможность выполнения команд и создания интерактивных оболочек и псевдотерминалов. Вредоносное ПО, по-видимому, создано хакерами, которые, вероятно, модифицировали инструменты с открытым исходным кодом для достижения своих целей по нарушению сетевой безопасности и подключению к локальной сети (LAN) после взлома.

Кроме того, на основе значений таймера отображаются индикаторы выполняемых операций, которые могут быть использованы для дальнейших вредоносных действий. В целом, поведение SHOE RACK свидетельствует о сложном подходе к использованию SSH для взлома инфраструктуры, что подчеркивает необходимость принятия надежных мер безопасности против таких целенаправленных атак.

#ParsedReport #CompletenessLow
20-06-2025

Zooming through BlueNoroff Indicators with Validin

https://www.validin.com/blog/zooming_through_bluenoroff_pivots/

Report completeness: Low

Actors/Campaigns:
Bluenoroff (motivation: financially_motivated)
Lazarus (motivation: financially_motivated)

Victims:
Web3 organization

Geo:
North korea, Dprk

ChatGPT TTPs:
do not use without manual check
T1070.008, T1105, T1566.001, T1583.001, T1583.002, T1584.001

IOCs:
Domain: 273
IP: 17
Hash: 2

Soft:
Zoom, Telegram

Algorithms:
sha1

Links:
https://github.com/stamparm/maltrail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследовательская группа Huntress выявила сложную атаку BlueNoroff group на организацию Web3 с использованием фишинга и бэкдоров в домене криптовалюты. В основе атаки лежало вредоносное расширение Zoom, распространяемое через Telegram, с доменом support.us05web-zoom.biz скрывает свои истинные намерения, переключаясь на доброкачественные IP-адреса. В ходе расследования был использован анализ DNS для выявления 200 дополнительных доменов, связанных с этой государственной угрозой.
-----

Недавнее расследование, проведенное исследовательской группой Huntress, выявило изощренную атаку на организацию Web3, приписываемую BlueNoroff group, финансово мотивированной фракции северокорейской Lazarus Group. Это целенаправленное вторжение включало в себя разнообразные методы, включая фишинговые приманки и бэкдоры, направленные на поддержание скрытого контроля над скомпрометированными системами в сфере криптовалют.

В центре атаки был домен support.us05web-zoom.biz, на котором размещалось вредоносное расширение Zoom, отправленное жертве через Telegram после участия в организованном собрании Zoom. Примечательно, что в истории DNS домена была обнаружена необычная закономерность, в основном связанная с общедоступным DNS-сервером Google (8.8.8.8). Этот метод указания на хорошо известные безопасные IP-адреса является распространенной тактикой киберпреступников, позволяющей скрыть обнаружение вредоносных действий. Расследование предполагает, что домен мог на короткое время перейти на вредоносный IP-адрес, контролируемый злоумышленниками, что соответствовало их оперативной секретности.

Используя инструменты анализа DNS, команда смогла перейти от безопасного IP-адреса к идентификации других доменных имен, настроенных аналогичным образом, сосредоточив внимание на тех доменах верхнего уровня .biz, которые были связаны с расширением Zoom. На этом этапе было получено 125 релевантных результатов, которые аналитики отфильтровали по таким ключевым словам, как "масштабирование", "знакомство", "веб" и "поддержка", чтобы выявить потенциально связанные с вредоносными доменами домены. По мере продвижения расследования исследователи собрали 36 показателей в рамках специального проекта для BlueNoroff, что позволило глубже изучить инфраструктуру, поддерживающую эту атаку.

Исторические данные связывали поддомен www.us05web-zoom.biz с IP-адресом (23.254.247.53), известным своей активностью в КНДР. Дальнейший поиск по этому IP-адресу привел к появлению множества других доменов, связанных с Zoom, с заметным всплеском активности в период с ноября 2024 по июнь 2025 года, что указывает на организованное возобновление связанных с этим атак. Систематически уточняя свои данные с помощью DNS, подключений к хостам и процессов регистрации, исследовательская группа обнаружила около 200 дополнительных доменов и сотни поддоменов, которые, вероятно, связаны с кампанией BlueNoroff.

Это расследование является примером тщательного подхода, необходимого для отслеживания меняющегося ландшафта хакерских атак, особенно тех, которые исходят от спонсируемых государством организаций, таких как BlueNoroff. Способность заблаговременно выявлять и отслеживать эту угрозу обеспечивает критически важную информацию для организаций, работающих в уязвимых секторах, таких как криптовалюта, повышая эффективность стратегий защиты от целевых кампаний.

#ParsedReport #CompletenessHigh
20-06-2025

UMBRELLA STAND

https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/umbrella-stand/ncsc-mar-umbrella_stand.pdf

Report completeness: High

Threats:
Umbrella_stand
Nbtscan_tool
Coathanger
Shoe_rack
Libpcap_tool
Process_injection_technique
Dynamic_linker_hijacking_technique
Hexedit_tool
Netstat_tool
Pscan_tool

Victims:
Fortinet fortigate 100d series firewalls

TTPs:
Tactics: 5
Technics: 12

IOCs:
File: 5
IP: 1
Hash: 10

Soft:
sysctl, debian, Linux, Unix, crontab

Algorithms:
gzip, sha256, bzip, lzma, md5, crc-32, aes, cbc, sha1, base64, zip

Win API:
NetBIOS, beep

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UMBRELLA STAND - это усовершенствованное вредоносное ПО, предназначенное для защиты брандмауэров Tigate 100D, обеспечивающее постоянный удаленный доступ и выполнение команд. Он обменивается данными через поддельный заголовок TLS на порту 443 без надлежащего подтверждения связи, использует зашифрованные сообщения и различные инструменты для таких функций, как фильтрация данных, скрывая при этом свое присутствие.
-----

UMBRELLA STAND - это сложный набор вредоносных программ, предназначенный для использования уязвимостей в брандмауэрах FortiGate 100D производства Fortinet. Его основная функция заключается в обеспечении долгосрочного доступа к скомпрометированным устройствам, что позволяет злоумышленникам выполнять команды командной оболочки и сохранять контроль над зараженными системами. Вредоносная программа взаимодействует с сервером управления (C2), используя поддельный заголовок TLS на порту 443, в частности, без надлежащего подтверждения связи по протоколу TLS, что отличает ее операции от законных защищенных коммуникаций.

Этот пакет вредоносных программ включает в себя различные компоненты, предназначенные для удаленного выполнения команд и утечки данных. Среди своих возможностей UMBRELLA STAND может считывать и выполнять команды на зараженных устройствах, манипулируя результатами с помощью системного файла. Вредоносная программа использует определенную последовательность для маяков, реализуя 11-секундный период ожидания для первых 30 сообщений, прежде чем перейти к настраиваемому интервалу ожидания, который включает дополнительную 2-секундную задержку. Структура обмена сообщениями вредоносного ПО согласована и позволяет осуществлять обратную связь с C2, включая уникальные идентификаторы, сгенерированные на основе имени хоста зараженного устройства.

Компоненты UMBRELLA STAND взаимодействуют с несколькими общедоступными инструментами, такими как BusyBox, tcpdump, nbtscan и OpenLDAP, которые предоставляют дополнительные функциональные возможности, включая сбор сетевого трафика и удаленный доступ к командной строке. Было замечено, что вредоносная программа может перезаписывать функции перезагрузки устройства, предлагая расширенные методы сохранения. Этот механизм перехвата позволяет UMBRELLA STAND запускать себя при каждой перезагрузке устройства, потенциально используя процесс инициализации для выполнения.

Были приняты меры по обеспечению операционной безопасности, в частности, UMBRELLA STAND предпринимает попытки скрыть свое присутствие, используя скрытые каталоги и общие имена файлов, которые могут быть идентичны типичным системным файлам Linux. Кроме того, некоторые строки в вредоносной программе зашифрованы с помощью AES, что затрудняет обнаружение и анализ. Наблюдаемый жестко закодированный IP-адрес C2 равен 89.44.194.32, при этом трафик демонстрирует признаки зашифрованных сообщений, включая структурированную полезную нагрузку, сохраняя при этом запутанность для своих коммуникаций.

#ParsedReport #CompletenessMedium
20-06-2025

Cobalt Strike Operators Leverage PowerShell Loaders Across Chinese, Russian, and Global Infrastructure

https://hunt.io/blog/cobaltstrike-powershell-loader-chinese-russian-infrastructure

Report completeness: Medium

Threats:
Cobalt_strike_tool
Dll_injection_technique

Geo:
Hong kong, China, Chinese, Russia, Russian, Singapore

ChatGPT TTPs:
do not use without manual check
T1001.003, T1027, T1055.012, T1059.001, T1082, T1090.003, T1105, T1204.002, T1573.002, T1620, have more...

IOCs:
IP: 24
Domain: 1
File: 1
Hash: 10

Soft:
Windows Defender

Algorithms:
xor, base64

Functions:
in

Win API:
VirtualAlloc, LoadLibraryA, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetSetOptionA, InternetReadFile

Win Services:
bits

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Скрипт PowerShell (y1.ps1) с китайского сервера действует как загрузчик шеллкода, используя выполнение в памяти, чтобы избежать обнаружения. Он использует рефлексивные методы для загрузки и выполнения полезной нагрузки, подключаясь к серверу C2, подключенному к инфраструктуре Cobalt Strike, что подчеркивает важность мониторинга SSL-сертификатов и принятия более жестких мер безопасности.
-----

Недавнее расследование подозрительного скрипта PowerShell (y1.ps1), размещенного на сервере в Китае, выявило его использование в качестве загрузчика шеллкода, который использует методы выполнения в памяти, чтобы избежать обнаружения. Это расследование было запущено 1 июня 2025 года в рамках рутинной работы по поиску угроз. В сценарии используются методы отражения для выполнения шеллкода, динамического разрешения функций Windows API и расшифровки встроенной полезной нагрузки, предназначенной для дальнейшей доставки. Он подключился к серверу второго уровня управления (C2), размещенному на Baidu Cloud Function Compute, демонстрируя активную конфигурацию после эксплуатации, связанную с инфраструктурой Cobalt Strike.

Основная стратегия обхода загрузчика PowerShell заключается в хешировании API и использовании поддельных строк пользовательского агента, что облегчает его скрытность во время операций. Расшифрованный шелл-код структурирован таким образом, чтобы инициировать подключение к серверу C2 (y2n273y10j.cfc-execute.bj.baidubce.com), используя отраженную загрузку библиотеки DLL, которая позволяет напрямую выполнять полезную нагрузку в памяти. Выполнение шеллкода начинается с настройки его среды путем обхода блока среды процесса (PEB) для поиска необходимых библиотек Windows DLL и вычисления хэшей для функций API, чтобы скрыть фактические имена, что позволяет избежать обнаружения статическим анализом.

После успешного установления HTTPS-соединения со своим сервером C2 шеллкод отправляет HTTP-запросы, включая механизм повторных попыток. После выполнения полезной нагрузки дальнейшие исследования ее конфигурации выявили, что маяк Cobalt Strike подключен к другому IP-адресу (46.173.27.142), связанному с ООО "Бегет" в России. Это соединение усилило связь с Cobalt Strike, о чем свидетельствуют данные SSL-сертификата, в которых тема сертификата обозначена как “Крупная забастовка Cobalt”, а эмитент - как “cobaltstrike”. История активности указывает на то, что этот IP-адрес, вероятно, использовался для срочных операций.

В ходе дальнейшего анализа было установлено, что методы, использованные в этой атаке, соответствуют тем, которые наблюдались в финансово мотивированных кампаниях с использованием скомпрометированной инфраструктуры Cobalt Strike. В ходе расследования была подчеркнута важность мониторинга SSL-сертификатов, связанных с известными индикаторами угроз, и принятия таких мер безопасности, как ужесточение использования PowerShell, ограничение неподписанных сценариев и ведение журнала действий для выявления любых подозрительных взаимодействий. Кроме того, блокирование известных IP-адресов угроз, внедрение эффективных решений для обнаружения конечных точек и реагирования на них, а также соблюдение бдительности в отношении необычных схем исходящего трафика могут значительно снизить риск возникновения подобных угроз.

#ParsedReport #CompletenessLow
20-06-2025

Resurgence of the Prometei Botnet

https://unit42.paloaltonetworks.com/prometei-botnet-2025-activity/

Report completeness: Low

Threats:
Prometei_botnet
Eternalblue_vuln
Wannacry
Upx_tool

Geo:
Indonesia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1027, T1059.004, T1070.004, T1071.001, T1074.001, T1102, T1105, T1110, T1135, have more...

IOCs:
Url: 3
File: 1
Hash: 10

Soft:
Linux

Crypto:
monero

Win API:
decompress

Languages:
php

Links:
https://github.com/upx/upx/blob/devel/src/p\_lx\_exc.cpp#L201
have more...
https://github.com/upx/upx/blob/devel/src/stub/src/include/header.S

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет Prometei, известный своими версиями для Linux и Windows, вновь появился с передовыми технологиями майнинга криптовалют и кражи учетных данных. Он использует модульную конструкцию, использует уязвимости, такие как EternalBlue, и использует алгоритм генерации домена для сохранения. Его развертывание предполагает использование динамических механизмов, скрывающих происхождение, в то время как упаковка в формате UPX усложняет анализ и обнаружение, подчеркивая необходимость принятия упреждающих мер кибербезопасности.
-----

Ботнет Prometei, который был первоначально идентифицирован в июле 2020 года и позже, в декабре 2020 года, получил известность благодаря своей версии для Linux, был связан со значительными угрозами кибербезопасности, в частности, с добычей криптовалют и кражей учетных данных. По состоянию на март 2025 года наблюдается заметный всплеск атак Prometei, причем продвинутые версии вредоносного ПО реализуют сложные методы и стратегии уклонения. Семейство вредоносных программ использует как Windows, так и Linux-версии, в основном нацеленные на системы майнинга Monero и другие вредоносные действия.

Prometei использует модульную архитектуру, которая повышает его адаптивность и устойчивость к противодействиям. Каждый модуль предназначен для выполнения определенных функций, таких как интеллектуальный анализ данных, кража учетных данных и потенциальное развертывание новых вредоносных программ. Эффективность его работы повышается благодаря алгоритму генерации доменов (DGA), который динамически создает доменные имена для командно-диспетчерской связи (C2), тем самым облегчая постоянные операции, даже если определенные домены заблокированы. Дополнительные возможности самообновления позволяют вредоносному ПО постоянно развиваться, адаптируясь к применяемым мерам безопасности.

Ботнет использует различные уязвимости для распространения внутри сетей. К ним относятся методы взлома учетных данных, использование эксплойта EternalBlue, известного своей связью с программой-вымогателем WannaCry, а также использование уязвимостей в протоколе блокировки серверных сообщений (SMB). Такое сочетание тактик позиционирует Prometei как грозного хакера, движимого в первую очередь финансовыми мотивами.

В частности, последние версии вредоносного ПО Prometei, впервые обнаруженные в марте 2025 года, распространяются по URL-адресу, который использует HTTP-запрос GET. Метод распространения включает в себя варианты, позволяющие злоумышленникам присваивать динамические родительские идентификаторы в образцах вредоносного ПО. Этот механизм не только скрывает свое происхождение, но и облегчает целенаправленные атаки на скомпрометированные системы.

Анализ вредоносного ПО показал, что оно упаковано с использованием UPX, что делает его меньше по размеру и сложнее для анализа. При запуске вредоносное ПО само распаковывается в памяти, что позволяет обойти традиционные методы статического анализа. Исследователи отметили, что дополнительный файл конфигурации JSON, сопровождающий вредоносное ПО, усложняет попытки распаковки, поскольку он мешает стандартному процессу распаковки UPX. Понимание структуры вредоносного ПО имеет решающее значение, поскольку неправильное обращение с ним приводит к сбою обнаружения.

Для борьбы с такими развивающимися угрозами меры кибербезопасности должны включать эффективные методы обнаружения, в том числе правила YARA, нацеленные на упаковку UPX и конфигурацию JSON. Постоянный мониторинг и адаптация стратегий обнаружения угроз необходимы для того, чтобы идти в ногу с меняющимся ландшафтом ботнета Prometei и его возможностями. Поскольку эта вредоносная программа продолжает развиваться, активные и упреждающие механизмы защиты будут иметь решающее значение для смягчения ее воздействия на целевые системы.

#ParsedReport #CompletenessLow
21-06-2025

Part 2: The Iran-Israel Cyber Standoff - The State's Silent War

https://www.cloudsek.com/blog/part-2-the-iran-israel-cyber-standoff---the-states-silent-war

Report completeness: Low

Actors/Campaigns:
Apt42 (motivation: hacktivism, cyber_espionage, information_theft)
Oilrig (motivation: hacktivism, cyber_espionage, information_theft)
Muddywater (motivation: hacktivism, cyber_espionage, information_theft)
Handala (motivation: hacktivism, politically_motivated, cyber_espionage, information_theft)
Charming_kitten
Marnanbridge
Irgc (motivation: cyber_espionage)
Nemesis_kitten
Cyberav3nger (motivation: hacktivism)

Threats:
Sphynx
Dns_tunneling_technique
Supply_chain_technique
Lolbin_technique
Powerkitten
Spear-phishing_technique
Powerstats
Log4shell_vuln
Bondupdater_tool
Quadagent
Credential_harvesting_technique

Industry:
Petroleum, Education, Government, E-commerce, Chemical, Telco, Energy, Military, Ngo, Logistic

Geo:
Iranian, Palestinian, Iran, Middle east, Israeli, Israel

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.003, T1071.004, T1078, T1078.002, T1185, T1190, T1195, T1216, T1218, have more...

IOCs:
File: 1

Soft:
Telegram

Languages:
swift, powershell