#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SHOE RACK - это вредоносная программа, нацеленная на брандмауэры FortiGate 100D, использующая SSH для необычных тактик, включая DNS-over-HTTPS для связи C2. Она устанавливает обратные соединения через модифицированный SSH, что позволяет проводить дальнейшие атаки, такие как выполнение команд и создание интерактивных оболочек.
-----

SHOE RACK - это вредоносная программа, использующая нетрадиционное использование протокола Secure Shell (SSH), в первую очередь для брандмауэров серии FortiGate 100D производства Fortinet. Его работа предполагает использование протокола DNS-over-HTTPS (DOH) для определения IP-адреса для своего сервера управления (C2), который жестко задан как phcia.duckdns.org. Вредоносная программа, разработанная на языке программирования Go 1.18, демонстрирует свои вредоносные возможности с помощью метода обратного SSH-подключения, который изменяет общедоступную реализацию, известную как NHAS.

После запуска вредоносная программа подключается к пользовательскому SSH-серверу по протоколу TCP/TLS, инициируя обмен данными по протоколу SSH-2.0. Интересно, что она вводя в заблуждение, рекламирует себя как SSH версии 1.1.3. После успешного установления SSH-соединения вредоносная программа переходит в состояние ожидания открытия канала сервером C2. Это взаимодействие нетипично, поскольку поддерживаются два типа каналов: стандартный сеансовый и нестандартный "переходный". Последнее позволяет SHOE RACK создавать обратный SSH-туннель в рамках существующего сеанса, а не инициировать новое соединение, что фактически позволяет вредоносному ПО выступать в качестве SSH-сервера.

SHOE RACK также содержит список нескольких подсистем, которые могут быть запущены во время его работы, включая протокол SFTP, операции системного вызова Linux для setgid, setuid, возможность выполнения команд и создания интерактивных оболочек и псевдотерминалов. Вредоносное ПО, по-видимому, создано хакерами, которые, вероятно, модифицировали инструменты с открытым исходным кодом для достижения своих целей по нарушению сетевой безопасности и подключению к локальной сети (LAN) после взлома.

Кроме того, на основе значений таймера отображаются индикаторы выполняемых операций, которые могут быть использованы для дальнейших вредоносных действий. В целом, поведение SHOE RACK свидетельствует о сложном подходе к использованию SSH для взлома инфраструктуры, что подчеркивает необходимость принятия надежных мер безопасности против таких целенаправленных атак.

#ParsedReport #CompletenessLow
20-06-2025

Zooming through BlueNoroff Indicators with Validin

https://www.validin.com/blog/zooming_through_bluenoroff_pivots/

Report completeness: Low

Actors/Campaigns:
Bluenoroff (motivation: financially_motivated)
Lazarus (motivation: financially_motivated)

Victims:
Web3 organization

Geo:
North korea, Dprk

ChatGPT TTPs:
do not use without manual check
T1070.008, T1105, T1566.001, T1583.001, T1583.002, T1584.001

IOCs:
Domain: 273
IP: 17
Hash: 2

Soft:
Zoom, Telegram

Algorithms:
sha1

Links:
https://github.com/stamparm/maltrail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследовательская группа Huntress выявила сложную атаку BlueNoroff group на организацию Web3 с использованием фишинга и бэкдоров в домене криптовалюты. В основе атаки лежало вредоносное расширение Zoom, распространяемое через Telegram, с доменом support.us05web-zoom.biz скрывает свои истинные намерения, переключаясь на доброкачественные IP-адреса. В ходе расследования был использован анализ DNS для выявления 200 дополнительных доменов, связанных с этой государственной угрозой.
-----

Недавнее расследование, проведенное исследовательской группой Huntress, выявило изощренную атаку на организацию Web3, приписываемую BlueNoroff group, финансово мотивированной фракции северокорейской Lazarus Group. Это целенаправленное вторжение включало в себя разнообразные методы, включая фишинговые приманки и бэкдоры, направленные на поддержание скрытого контроля над скомпрометированными системами в сфере криптовалют.

В центре атаки был домен support.us05web-zoom.biz, на котором размещалось вредоносное расширение Zoom, отправленное жертве через Telegram после участия в организованном собрании Zoom. Примечательно, что в истории DNS домена была обнаружена необычная закономерность, в основном связанная с общедоступным DNS-сервером Google (8.8.8.8). Этот метод указания на хорошо известные безопасные IP-адреса является распространенной тактикой киберпреступников, позволяющей скрыть обнаружение вредоносных действий. Расследование предполагает, что домен мог на короткое время перейти на вредоносный IP-адрес, контролируемый злоумышленниками, что соответствовало их оперативной секретности.

Используя инструменты анализа DNS, команда смогла перейти от безопасного IP-адреса к идентификации других доменных имен, настроенных аналогичным образом, сосредоточив внимание на тех доменах верхнего уровня .biz, которые были связаны с расширением Zoom. На этом этапе было получено 125 релевантных результатов, которые аналитики отфильтровали по таким ключевым словам, как "масштабирование", "знакомство", "веб" и "поддержка", чтобы выявить потенциально связанные с вредоносными доменами домены. По мере продвижения расследования исследователи собрали 36 показателей в рамках специального проекта для BlueNoroff, что позволило глубже изучить инфраструктуру, поддерживающую эту атаку.

Исторические данные связывали поддомен www.us05web-zoom.biz с IP-адресом (23.254.247.53), известным своей активностью в КНДР. Дальнейший поиск по этому IP-адресу привел к появлению множества других доменов, связанных с Zoom, с заметным всплеском активности в период с ноября 2024 по июнь 2025 года, что указывает на организованное возобновление связанных с этим атак. Систематически уточняя свои данные с помощью DNS, подключений к хостам и процессов регистрации, исследовательская группа обнаружила около 200 дополнительных доменов и сотни поддоменов, которые, вероятно, связаны с кампанией BlueNoroff.

Это расследование является примером тщательного подхода, необходимого для отслеживания меняющегося ландшафта хакерских атак, особенно тех, которые исходят от спонсируемых государством организаций, таких как BlueNoroff. Способность заблаговременно выявлять и отслеживать эту угрозу обеспечивает критически важную информацию для организаций, работающих в уязвимых секторах, таких как криптовалюта, повышая эффективность стратегий защиты от целевых кампаний.

#ParsedReport #CompletenessHigh
20-06-2025

UMBRELLA STAND

https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/umbrella-stand/ncsc-mar-umbrella_stand.pdf

Report completeness: High

Threats:
Umbrella_stand
Nbtscan_tool
Coathanger
Shoe_rack
Libpcap_tool
Process_injection_technique
Dynamic_linker_hijacking_technique
Hexedit_tool
Netstat_tool
Pscan_tool

Victims:
Fortinet fortigate 100d series firewalls

TTPs:
Tactics: 5
Technics: 12

IOCs:
File: 5
IP: 1
Hash: 10

Soft:
sysctl, debian, Linux, Unix, crontab

Algorithms:
gzip, sha256, bzip, lzma, md5, crc-32, aes, cbc, sha1, base64, zip

Win API:
NetBIOS, beep

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UMBRELLA STAND - это усовершенствованное вредоносное ПО, предназначенное для защиты брандмауэров Tigate 100D, обеспечивающее постоянный удаленный доступ и выполнение команд. Он обменивается данными через поддельный заголовок TLS на порту 443 без надлежащего подтверждения связи, использует зашифрованные сообщения и различные инструменты для таких функций, как фильтрация данных, скрывая при этом свое присутствие.
-----

UMBRELLA STAND - это сложный набор вредоносных программ, предназначенный для использования уязвимостей в брандмауэрах FortiGate 100D производства Fortinet. Его основная функция заключается в обеспечении долгосрочного доступа к скомпрометированным устройствам, что позволяет злоумышленникам выполнять команды командной оболочки и сохранять контроль над зараженными системами. Вредоносная программа взаимодействует с сервером управления (C2), используя поддельный заголовок TLS на порту 443, в частности, без надлежащего подтверждения связи по протоколу TLS, что отличает ее операции от законных защищенных коммуникаций.

Этот пакет вредоносных программ включает в себя различные компоненты, предназначенные для удаленного выполнения команд и утечки данных. Среди своих возможностей UMBRELLA STAND может считывать и выполнять команды на зараженных устройствах, манипулируя результатами с помощью системного файла. Вредоносная программа использует определенную последовательность для маяков, реализуя 11-секундный период ожидания для первых 30 сообщений, прежде чем перейти к настраиваемому интервалу ожидания, который включает дополнительную 2-секундную задержку. Структура обмена сообщениями вредоносного ПО согласована и позволяет осуществлять обратную связь с C2, включая уникальные идентификаторы, сгенерированные на основе имени хоста зараженного устройства.

Компоненты UMBRELLA STAND взаимодействуют с несколькими общедоступными инструментами, такими как BusyBox, tcpdump, nbtscan и OpenLDAP, которые предоставляют дополнительные функциональные возможности, включая сбор сетевого трафика и удаленный доступ к командной строке. Было замечено, что вредоносная программа может перезаписывать функции перезагрузки устройства, предлагая расширенные методы сохранения. Этот механизм перехвата позволяет UMBRELLA STAND запускать себя при каждой перезагрузке устройства, потенциально используя процесс инициализации для выполнения.

Были приняты меры по обеспечению операционной безопасности, в частности, UMBRELLA STAND предпринимает попытки скрыть свое присутствие, используя скрытые каталоги и общие имена файлов, которые могут быть идентичны типичным системным файлам Linux. Кроме того, некоторые строки в вредоносной программе зашифрованы с помощью AES, что затрудняет обнаружение и анализ. Наблюдаемый жестко закодированный IP-адрес C2 равен 89.44.194.32, при этом трафик демонстрирует признаки зашифрованных сообщений, включая структурированную полезную нагрузку, сохраняя при этом запутанность для своих коммуникаций.

#ParsedReport #CompletenessMedium
20-06-2025

Cobalt Strike Operators Leverage PowerShell Loaders Across Chinese, Russian, and Global Infrastructure

https://hunt.io/blog/cobaltstrike-powershell-loader-chinese-russian-infrastructure

Report completeness: Medium

Threats:
Cobalt_strike_tool
Dll_injection_technique

Geo:
Hong kong, China, Chinese, Russia, Russian, Singapore

ChatGPT TTPs:
do not use without manual check
T1001.003, T1027, T1055.012, T1059.001, T1082, T1090.003, T1105, T1204.002, T1573.002, T1620, have more...

IOCs:
IP: 24
Domain: 1
File: 1
Hash: 10

Soft:
Windows Defender

Algorithms:
xor, base64

Functions:
in

Win API:
VirtualAlloc, LoadLibraryA, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetSetOptionA, InternetReadFile

Win Services:
bits

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Скрипт PowerShell (y1.ps1) с китайского сервера действует как загрузчик шеллкода, используя выполнение в памяти, чтобы избежать обнаружения. Он использует рефлексивные методы для загрузки и выполнения полезной нагрузки, подключаясь к серверу C2, подключенному к инфраструктуре Cobalt Strike, что подчеркивает важность мониторинга SSL-сертификатов и принятия более жестких мер безопасности.
-----

Недавнее расследование подозрительного скрипта PowerShell (y1.ps1), размещенного на сервере в Китае, выявило его использование в качестве загрузчика шеллкода, который использует методы выполнения в памяти, чтобы избежать обнаружения. Это расследование было запущено 1 июня 2025 года в рамках рутинной работы по поиску угроз. В сценарии используются методы отражения для выполнения шеллкода, динамического разрешения функций Windows API и расшифровки встроенной полезной нагрузки, предназначенной для дальнейшей доставки. Он подключился к серверу второго уровня управления (C2), размещенному на Baidu Cloud Function Compute, демонстрируя активную конфигурацию после эксплуатации, связанную с инфраструктурой Cobalt Strike.

Основная стратегия обхода загрузчика PowerShell заключается в хешировании API и использовании поддельных строк пользовательского агента, что облегчает его скрытность во время операций. Расшифрованный шелл-код структурирован таким образом, чтобы инициировать подключение к серверу C2 (y2n273y10j.cfc-execute.bj.baidubce.com), используя отраженную загрузку библиотеки DLL, которая позволяет напрямую выполнять полезную нагрузку в памяти. Выполнение шеллкода начинается с настройки его среды путем обхода блока среды процесса (PEB) для поиска необходимых библиотек Windows DLL и вычисления хэшей для функций API, чтобы скрыть фактические имена, что позволяет избежать обнаружения статическим анализом.

После успешного установления HTTPS-соединения со своим сервером C2 шеллкод отправляет HTTP-запросы, включая механизм повторных попыток. После выполнения полезной нагрузки дальнейшие исследования ее конфигурации выявили, что маяк Cobalt Strike подключен к другому IP-адресу (46.173.27.142), связанному с ООО "Бегет" в России. Это соединение усилило связь с Cobalt Strike, о чем свидетельствуют данные SSL-сертификата, в которых тема сертификата обозначена как “Крупная забастовка Cobalt”, а эмитент - как “cobaltstrike”. История активности указывает на то, что этот IP-адрес, вероятно, использовался для срочных операций.

В ходе дальнейшего анализа было установлено, что методы, использованные в этой атаке, соответствуют тем, которые наблюдались в финансово мотивированных кампаниях с использованием скомпрометированной инфраструктуры Cobalt Strike. В ходе расследования была подчеркнута важность мониторинга SSL-сертификатов, связанных с известными индикаторами угроз, и принятия таких мер безопасности, как ужесточение использования PowerShell, ограничение неподписанных сценариев и ведение журнала действий для выявления любых подозрительных взаимодействий. Кроме того, блокирование известных IP-адресов угроз, внедрение эффективных решений для обнаружения конечных точек и реагирования на них, а также соблюдение бдительности в отношении необычных схем исходящего трафика могут значительно снизить риск возникновения подобных угроз.

#ParsedReport #CompletenessLow
20-06-2025

Resurgence of the Prometei Botnet

https://unit42.paloaltonetworks.com/prometei-botnet-2025-activity/

Report completeness: Low

Threats:
Prometei_botnet
Eternalblue_vuln
Wannacry
Upx_tool

Geo:
Indonesia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1027, T1059.004, T1070.004, T1071.001, T1074.001, T1102, T1105, T1110, T1135, have more...

IOCs:
Url: 3
File: 1
Hash: 10

Soft:
Linux

Crypto:
monero

Win API:
decompress

Languages:
php

Links:
https://github.com/upx/upx/blob/devel/src/p\_lx\_exc.cpp#L201
have more...
https://github.com/upx/upx/blob/devel/src/stub/src/include/header.S

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет Prometei, известный своими версиями для Linux и Windows, вновь появился с передовыми технологиями майнинга криптовалют и кражи учетных данных. Он использует модульную конструкцию, использует уязвимости, такие как EternalBlue, и использует алгоритм генерации домена для сохранения. Его развертывание предполагает использование динамических механизмов, скрывающих происхождение, в то время как упаковка в формате UPX усложняет анализ и обнаружение, подчеркивая необходимость принятия упреждающих мер кибербезопасности.
-----

Ботнет Prometei, который был первоначально идентифицирован в июле 2020 года и позже, в декабре 2020 года, получил известность благодаря своей версии для Linux, был связан со значительными угрозами кибербезопасности, в частности, с добычей криптовалют и кражей учетных данных. По состоянию на март 2025 года наблюдается заметный всплеск атак Prometei, причем продвинутые версии вредоносного ПО реализуют сложные методы и стратегии уклонения. Семейство вредоносных программ использует как Windows, так и Linux-версии, в основном нацеленные на системы майнинга Monero и другие вредоносные действия.

Prometei использует модульную архитектуру, которая повышает его адаптивность и устойчивость к противодействиям. Каждый модуль предназначен для выполнения определенных функций, таких как интеллектуальный анализ данных, кража учетных данных и потенциальное развертывание новых вредоносных программ. Эффективность его работы повышается благодаря алгоритму генерации доменов (DGA), который динамически создает доменные имена для командно-диспетчерской связи (C2), тем самым облегчая постоянные операции, даже если определенные домены заблокированы. Дополнительные возможности самообновления позволяют вредоносному ПО постоянно развиваться, адаптируясь к применяемым мерам безопасности.

Ботнет использует различные уязвимости для распространения внутри сетей. К ним относятся методы взлома учетных данных, использование эксплойта EternalBlue, известного своей связью с программой-вымогателем WannaCry, а также использование уязвимостей в протоколе блокировки серверных сообщений (SMB). Такое сочетание тактик позиционирует Prometei как грозного хакера, движимого в первую очередь финансовыми мотивами.

В частности, последние версии вредоносного ПО Prometei, впервые обнаруженные в марте 2025 года, распространяются по URL-адресу, который использует HTTP-запрос GET. Метод распространения включает в себя варианты, позволяющие злоумышленникам присваивать динамические родительские идентификаторы в образцах вредоносного ПО. Этот механизм не только скрывает свое происхождение, но и облегчает целенаправленные атаки на скомпрометированные системы.

Анализ вредоносного ПО показал, что оно упаковано с использованием UPX, что делает его меньше по размеру и сложнее для анализа. При запуске вредоносное ПО само распаковывается в памяти, что позволяет обойти традиционные методы статического анализа. Исследователи отметили, что дополнительный файл конфигурации JSON, сопровождающий вредоносное ПО, усложняет попытки распаковки, поскольку он мешает стандартному процессу распаковки UPX. Понимание структуры вредоносного ПО имеет решающее значение, поскольку неправильное обращение с ним приводит к сбою обнаружения.

Для борьбы с такими развивающимися угрозами меры кибербезопасности должны включать эффективные методы обнаружения, в том числе правила YARA, нацеленные на упаковку UPX и конфигурацию JSON. Постоянный мониторинг и адаптация стратегий обнаружения угроз необходимы для того, чтобы идти в ногу с меняющимся ландшафтом ботнета Prometei и его возможностями. Поскольку эта вредоносная программа продолжает развиваться, активные и упреждающие механизмы защиты будут иметь решающее значение для смягчения ее воздействия на целевые системы.

#ParsedReport #CompletenessLow
21-06-2025

Part 2: The Iran-Israel Cyber Standoff - The State's Silent War

https://www.cloudsek.com/blog/part-2-the-iran-israel-cyber-standoff---the-states-silent-war

Report completeness: Low

Actors/Campaigns:
Apt42 (motivation: hacktivism, cyber_espionage, information_theft)
Oilrig (motivation: hacktivism, cyber_espionage, information_theft)
Muddywater (motivation: hacktivism, cyber_espionage, information_theft)
Handala (motivation: hacktivism, politically_motivated, cyber_espionage, information_theft)
Charming_kitten
Marnanbridge
Irgc (motivation: cyber_espionage)
Nemesis_kitten
Cyberav3nger (motivation: hacktivism)

Threats:
Sphynx
Dns_tunneling_technique
Supply_chain_technique
Lolbin_technique
Powerkitten
Spear-phishing_technique
Powerstats
Log4shell_vuln
Bondupdater_tool
Quadagent
Credential_harvesting_technique

Industry:
Petroleum, Education, Government, E-commerce, Chemical, Telco, Energy, Military, Ngo, Logistic

Geo:
Iranian, Palestinian, Iran, Middle east, Israeli, Israel

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.003, T1071.004, T1078, T1078.002, T1185, T1190, T1195, T1216, T1218, have more...

IOCs:
File: 1

Soft:
Telegram

Languages:
swift, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские хакеры, включая APT42, APT34, MuddyWater и Handala, все чаще атакуют Израиль и союзников посредством шпионажа, DDoS-атак и кражи учетных данных. Известные тактические приемы включают фишинг, эксплойты PowerShell и туннелирование DNS с акцентом на политические потрясения и уязвимые сектора. Для противодействия этим сложным угрозам необходимы надежные меры кибербезопасности.
-----

Недавние данные свидетельствуют о заметном росте числа кибератак, связанных с действиями иранских хакеров, нацеленных на Израиль и его союзников. Сообщается, что такие известные группы, как APT42, APT34, MuddyWater и коллектив хактивистов Handala, занимаются различными видами деятельности - от шпионажа и кражи данных до распределенных атак типа "отказ в обслуживании" (DDoS). Используемые методы включают фишинг, кражу учетных данных и использование скрытых инструментов, которые позволяют этим субъектам эффективно проникать в чувствительные сектора.

Этими кибероперациями руководят Корпус стражей Исламской революции (КСИР) и Министерство разведки и безопасности (MOIS). Ключевые действующие лица включают APT42, которая специализируется на шпионаже с помощью социальной инженерии и облачных компрометаций, MuddyWater, известную тем, что использует PowerShell и общедоступные уязвимости, и APT34, которая использует в своих атаках передовые тактики, такие как туннелирование DNS. Появление Handala свидетельствует о политически мотивированной группе, специализирующейся на DDoS-атаках и утечке данных, нацеленных на связанные с Израилем организации.

APT42 известна своими целенаправленными разведывательными действиями и изощренным пользовательским вредоносным ПО, использующим такие стратегии, как поддельные страницы входа в систему и скрытый фишинг, для получения доступа к конфиденциальным данным. Их деятельность характеризуется методичным и персонализированным подходом к выявлению отдельных лиц, особенно в академическом и правозащитном секторах, где они извлекают данные из скомпрометированных учетных записей.

MuddyWater работает под управлением MOIS и известна своей способностью поддерживать долгосрочный доступ к сетям жертв, используя такие инструменты, как бэкдоры PowerShell, и используя уязвимости приложений, в частности уязвимость Log4j. Их деятельность охватывает такие отрасли, как телекоммуникации, государственное управление и энергетика, с целью сбора разведывательных данных, имеющих отношение к интересам Ирана.

APT34 была связана с более сложными кампаниями, которые соответствуют национальным целям Ирана. Они используют пользовательское вредоносное ПО и связь на основе DNS для управления, что указывает на высокий уровень скрытности и адаптивности. Их целями часто являются финансовые службы и государственные учреждения, где они сосредоточены на сборе учетных данных и эксфильтрации данных.

Операции Handala носят явно деструктивный и политически окрашенный характер, а быстрый доступ к целям часто достигается с помощью DDoS-атак или использования известных веб-уязвимостей. Группа отдает приоритет немедленному воздействию, а не долгосрочному, часто публикуя данные на публичных платформах, чтобы усилить свои политические идеи и подорвать деятельность организаций, воспринимаемых как враждебные.

Эти текущие мероприятия подчеркивают острую необходимость для организаций усилить свои меры кибербезопасности. Рекомендации включают внедрение надежных протоколов исправления уязвимостей, мониторинг трафика DNS и внедрение систем безопасности с нулевым уровнем доверия для снижения рисков, связанных с этими продвинутыми хакерами. Последствия для организаций включают потенциальную утечку данных, сбои в работе и ущерб репутации из-за публичного раскрытия информации или перебоев в обслуживании. Соблюдение нормативных стандартов также может стать насущной проблемой после таких инцидентов.

#ParsedReport #CompletenessHigh
21-06-2025

APT36 Phishing Campaign Targets Indian Defense Using Credential-Stealing Malware

https://www.cyfirma.com/research/apt36-phishing-campaign-targets-indian-defense-using-credential-stealing-malware/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: information_theft, cyber_espionage)

Threats:
Credential_stealing_technique
Credential_harvesting_technique
Spear-phishing_technique
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique

Victims:
Indian defense personnel

Industry:
Education, Government

Geo:
Brazil, India, Indian, Pakistan

TTPs:
Tactics: 10
Technics: 54

IOCs:
Hash: 6
Domain: 18
IP: 12
Url: 1
File: 1

Algorithms:
exhibit, sha256, md5, zip

Functions:
GetStartupInfo, FindNextFileExW

Win API:
IsDebuggerPresent, IsWow64Process, FindResourceExW, CreateStreamOnHGlobal, CreateProcessW, ShellExecuteW, OpenWindowStationW, GetProcessWindowStation, SetProcessWindowStation, OpenDesktopW, have more...

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, filemanager: 1, code: 8, dump: 11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, известная как Transparent Tribe, нацелена на сотрудников министерства обороны Индии с помощью фишинговых электронных писем с вредоносными PDF-файлами, имитирующими официальные документы. Внедренная вредоносная программа перехватывает учетные данные и сообщения, используя методы антианализа, чтобы избежать обнаружения, что способствует долгосрочному проникновению в сети министерства обороны Индии.
-----

APT36, известная как Transparent Tribe, является базирующейся в Пакистане группой кибершпионажа, которая в основном нацелена на сотрудников министерства обороны Индии с помощью изощренных фишинговых кампаний. Их методы включают отправку фишинговых электронных писем с вредоносными вложениями в формате PDF, которые очень напоминают официальные правительственные документы. Когда пользователи открывают эти PDF-файлы, они сталкиваются с вводящим в заблуждение интерфейсом входа в систему, похожим на Национальный центр информатики (NIC). Это приводит к загрузке ZIP-архива, содержащего вредоносный исполняемый файл, который выдает себя за законное приложение. Конечная цель группы, по-видимому, сосредоточена на краже учетных данных, способствующей долгосрочному проникновению в индийские оборонные сети.

В фишинговой кампании широко используется встроенный PDF-файл с именем "PO-003443125.pdf". При работе с этим файлом пользователи перенаправляются на вредоносный URL-адрес, который загружает ZIP-файл с именем "PO-003443125.pdf.7z", содержащий замаскированный исполняемый файл "PO-003443125.pdf.exe". Исполняемый файл предназначен для того, чтобы вводить пользователей в заблуждение, отображая значок PDF-файла. При запуске вредоносная программа использует различные системные функции для обеспечения скрытности и уклонения от обнаружения, включая использование методов антианализа, таких как определение того, выполняется ли она в среде отладки или виртуализации с использованием “IsDebuggerPresent” и “IsWow64Process”. При обнаружении такой среды вредоносная программа завершает свою работу, тем самым избегая проверки.

Работа вредоносного ПО включает процессы, которые незаметно запускают другие приложения, управляя взаимодействиями с пользовательской средой с помощью функций манипулирования окнами. Способность управлять выполнением процессов позволяет вредоносному ПО сохранять устойчивость и скрытно выполнять вредоносные действия. Примечательно, что он может перехватывать нажатия клавиш с помощью функций GetAsyncKeyState и GetKeyState для получения большого количества данных, включая учетные данные и конфиденциальные сообщения.

Сетевые функции вредоносной программы позволяют осуществлять командно-контрольные действия, облегчая удаленный доступ и фильтрацию данных. Он использует подозрительное сетевое поведение, включая DNS-запросы к доменам с низкой репутацией и зашифрованные сообщения со своей командно-диспетчерской инфраструктурой, часто размещаемой в крупных сетях доставки контента, чтобы избежать обнаружения.

Активность, связанная с вредоносным ПО, вызывает тревогу: признаки ресурсоемкого поведения, такие как скачки производительности процессора и аномальные деревья процессов, указывают на классические признаки выполнения вредоносного ПО. Методы кражи учетных данных вредоносного ПО включают в себя использование кэшей данных браузера, учетных данных почтовых клиентов и содержимого буфера обмена с помощью методов захвата форм и кейлоггинга.

Учитывая текущую деятельность APT36, она представляет собой серьезную угрозу национальной безопасности, особенно в отношении оборонных секторов Индии. Передовые методы фишинга и кража учетных данных этой группы свидетельствуют о растущей сложности кибершпионажа. Организации, сталкивающиеся с такими угрозами, должны уделять приоритетное внимание комплексным стратегиям кибербезопасности, включая надежную защиту электронной почты, программы повышения осведомленности пользователей и системы непрерывного мониторинга, чтобы эффективно снизить эти риски.

#ParsedReport #CompletenessLow
21-06-2025

Declaration trap: Crypto Drainers masquerading as European Tax Authorities

https://www.group-ib.com/blog/declaration-trap/

Report completeness: Low

Actors/Campaigns:
Declaration_trap
Steal-it

Threats:
Inferno

Victims:
Crypto holders, Users, Dutch residents

Industry:
Financial, Government, Education

Geo:
Dutch, Netherlands

ChatGPT TTPs:
do not use without manual check
T1078, T1114, T1119, T1185, T1204.001, T1205.003, T1556.003, T1566.001, T1566.002, T1589, have more...

IOCs:
File: 9
Hash: 6
Domain: 15

Soft:
Telegram, WalletConnect

Wallets:
metamask

Functions:
sendMainINFO