#ParsedReport #CompletenessHigh
20-06-2025

UMBRELLA STAND

https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/umbrella-stand/ncsc-mar-umbrella_stand.pdf

Report completeness: High

Threats:
Umbrella_stand
Nbtscan_tool
Coathanger
Shoe_rack
Libpcap_tool
Process_injection_technique
Dynamic_linker_hijacking_technique
Hexedit_tool
Netstat_tool
Pscan_tool

Victims:
Fortinet fortigate 100d series firewalls

TTPs:
Tactics: 5
Technics: 12

IOCs:
File: 5
IP: 1
Hash: 10

Soft:
sysctl, debian, Linux, Unix, crontab

Algorithms:
gzip, sha256, bzip, lzma, md5, crc-32, aes, cbc, sha1, base64, zip

Win API:
NetBIOS, beep

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UMBRELLA STAND - это усовершенствованное вредоносное ПО, предназначенное для защиты брандмауэров Tigate 100D, обеспечивающее постоянный удаленный доступ и выполнение команд. Он обменивается данными через поддельный заголовок TLS на порту 443 без надлежащего подтверждения связи, использует зашифрованные сообщения и различные инструменты для таких функций, как фильтрация данных, скрывая при этом свое присутствие.
-----

UMBRELLA STAND - это сложный набор вредоносных программ, предназначенный для использования уязвимостей в брандмауэрах FortiGate 100D производства Fortinet. Его основная функция заключается в обеспечении долгосрочного доступа к скомпрометированным устройствам, что позволяет злоумышленникам выполнять команды командной оболочки и сохранять контроль над зараженными системами. Вредоносная программа взаимодействует с сервером управления (C2), используя поддельный заголовок TLS на порту 443, в частности, без надлежащего подтверждения связи по протоколу TLS, что отличает ее операции от законных защищенных коммуникаций.

Этот пакет вредоносных программ включает в себя различные компоненты, предназначенные для удаленного выполнения команд и утечки данных. Среди своих возможностей UMBRELLA STAND может считывать и выполнять команды на зараженных устройствах, манипулируя результатами с помощью системного файла. Вредоносная программа использует определенную последовательность для маяков, реализуя 11-секундный период ожидания для первых 30 сообщений, прежде чем перейти к настраиваемому интервалу ожидания, который включает дополнительную 2-секундную задержку. Структура обмена сообщениями вредоносного ПО согласована и позволяет осуществлять обратную связь с C2, включая уникальные идентификаторы, сгенерированные на основе имени хоста зараженного устройства.

Компоненты UMBRELLA STAND взаимодействуют с несколькими общедоступными инструментами, такими как BusyBox, tcpdump, nbtscan и OpenLDAP, которые предоставляют дополнительные функциональные возможности, включая сбор сетевого трафика и удаленный доступ к командной строке. Было замечено, что вредоносная программа может перезаписывать функции перезагрузки устройства, предлагая расширенные методы сохранения. Этот механизм перехвата позволяет UMBRELLA STAND запускать себя при каждой перезагрузке устройства, потенциально используя процесс инициализации для выполнения.

Были приняты меры по обеспечению операционной безопасности, в частности, UMBRELLA STAND предпринимает попытки скрыть свое присутствие, используя скрытые каталоги и общие имена файлов, которые могут быть идентичны типичным системным файлам Linux. Кроме того, некоторые строки в вредоносной программе зашифрованы с помощью AES, что затрудняет обнаружение и анализ. Наблюдаемый жестко закодированный IP-адрес C2 равен 89.44.194.32, при этом трафик демонстрирует признаки зашифрованных сообщений, включая структурированную полезную нагрузку, сохраняя при этом запутанность для своих коммуникаций.

#ParsedReport #CompletenessMedium
20-06-2025

Cobalt Strike Operators Leverage PowerShell Loaders Across Chinese, Russian, and Global Infrastructure

https://hunt.io/blog/cobaltstrike-powershell-loader-chinese-russian-infrastructure

Report completeness: Medium

Threats:
Cobalt_strike_tool
Dll_injection_technique

Geo:
Hong kong, China, Chinese, Russia, Russian, Singapore

ChatGPT TTPs:
do not use without manual check
T1001.003, T1027, T1055.012, T1059.001, T1082, T1090.003, T1105, T1204.002, T1573.002, T1620, have more...

IOCs:
IP: 24
Domain: 1
File: 1
Hash: 10

Soft:
Windows Defender

Algorithms:
xor, base64

Functions:
in

Win API:
VirtualAlloc, LoadLibraryA, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetSetOptionA, InternetReadFile

Win Services:
bits

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Скрипт PowerShell (y1.ps1) с китайского сервера действует как загрузчик шеллкода, используя выполнение в памяти, чтобы избежать обнаружения. Он использует рефлексивные методы для загрузки и выполнения полезной нагрузки, подключаясь к серверу C2, подключенному к инфраструктуре Cobalt Strike, что подчеркивает важность мониторинга SSL-сертификатов и принятия более жестких мер безопасности.
-----

Недавнее расследование подозрительного скрипта PowerShell (y1.ps1), размещенного на сервере в Китае, выявило его использование в качестве загрузчика шеллкода, который использует методы выполнения в памяти, чтобы избежать обнаружения. Это расследование было запущено 1 июня 2025 года в рамках рутинной работы по поиску угроз. В сценарии используются методы отражения для выполнения шеллкода, динамического разрешения функций Windows API и расшифровки встроенной полезной нагрузки, предназначенной для дальнейшей доставки. Он подключился к серверу второго уровня управления (C2), размещенному на Baidu Cloud Function Compute, демонстрируя активную конфигурацию после эксплуатации, связанную с инфраструктурой Cobalt Strike.

Основная стратегия обхода загрузчика PowerShell заключается в хешировании API и использовании поддельных строк пользовательского агента, что облегчает его скрытность во время операций. Расшифрованный шелл-код структурирован таким образом, чтобы инициировать подключение к серверу C2 (y2n273y10j.cfc-execute.bj.baidubce.com), используя отраженную загрузку библиотеки DLL, которая позволяет напрямую выполнять полезную нагрузку в памяти. Выполнение шеллкода начинается с настройки его среды путем обхода блока среды процесса (PEB) для поиска необходимых библиотек Windows DLL и вычисления хэшей для функций API, чтобы скрыть фактические имена, что позволяет избежать обнаружения статическим анализом.

После успешного установления HTTPS-соединения со своим сервером C2 шеллкод отправляет HTTP-запросы, включая механизм повторных попыток. После выполнения полезной нагрузки дальнейшие исследования ее конфигурации выявили, что маяк Cobalt Strike подключен к другому IP-адресу (46.173.27.142), связанному с ООО "Бегет" в России. Это соединение усилило связь с Cobalt Strike, о чем свидетельствуют данные SSL-сертификата, в которых тема сертификата обозначена как “Крупная забастовка Cobalt”, а эмитент - как “cobaltstrike”. История активности указывает на то, что этот IP-адрес, вероятно, использовался для срочных операций.

В ходе дальнейшего анализа было установлено, что методы, использованные в этой атаке, соответствуют тем, которые наблюдались в финансово мотивированных кампаниях с использованием скомпрометированной инфраструктуры Cobalt Strike. В ходе расследования была подчеркнута важность мониторинга SSL-сертификатов, связанных с известными индикаторами угроз, и принятия таких мер безопасности, как ужесточение использования PowerShell, ограничение неподписанных сценариев и ведение журнала действий для выявления любых подозрительных взаимодействий. Кроме того, блокирование известных IP-адресов угроз, внедрение эффективных решений для обнаружения конечных точек и реагирования на них, а также соблюдение бдительности в отношении необычных схем исходящего трафика могут значительно снизить риск возникновения подобных угроз.

#ParsedReport #CompletenessLow
20-06-2025

Resurgence of the Prometei Botnet

https://unit42.paloaltonetworks.com/prometei-botnet-2025-activity/

Report completeness: Low

Threats:
Prometei_botnet
Eternalblue_vuln
Wannacry
Upx_tool

Geo:
Indonesia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1027, T1059.004, T1070.004, T1071.001, T1074.001, T1102, T1105, T1110, T1135, have more...

IOCs:
Url: 3
File: 1
Hash: 10

Soft:
Linux

Crypto:
monero

Win API:
decompress

Languages:
php

Links:
https://github.com/upx/upx/blob/devel/src/p\_lx\_exc.cpp#L201
have more...
https://github.com/upx/upx/blob/devel/src/stub/src/include/header.S

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет Prometei, известный своими версиями для Linux и Windows, вновь появился с передовыми технологиями майнинга криптовалют и кражи учетных данных. Он использует модульную конструкцию, использует уязвимости, такие как EternalBlue, и использует алгоритм генерации домена для сохранения. Его развертывание предполагает использование динамических механизмов, скрывающих происхождение, в то время как упаковка в формате UPX усложняет анализ и обнаружение, подчеркивая необходимость принятия упреждающих мер кибербезопасности.
-----

Ботнет Prometei, который был первоначально идентифицирован в июле 2020 года и позже, в декабре 2020 года, получил известность благодаря своей версии для Linux, был связан со значительными угрозами кибербезопасности, в частности, с добычей криптовалют и кражей учетных данных. По состоянию на март 2025 года наблюдается заметный всплеск атак Prometei, причем продвинутые версии вредоносного ПО реализуют сложные методы и стратегии уклонения. Семейство вредоносных программ использует как Windows, так и Linux-версии, в основном нацеленные на системы майнинга Monero и другие вредоносные действия.

Prometei использует модульную архитектуру, которая повышает его адаптивность и устойчивость к противодействиям. Каждый модуль предназначен для выполнения определенных функций, таких как интеллектуальный анализ данных, кража учетных данных и потенциальное развертывание новых вредоносных программ. Эффективность его работы повышается благодаря алгоритму генерации доменов (DGA), который динамически создает доменные имена для командно-диспетчерской связи (C2), тем самым облегчая постоянные операции, даже если определенные домены заблокированы. Дополнительные возможности самообновления позволяют вредоносному ПО постоянно развиваться, адаптируясь к применяемым мерам безопасности.

Ботнет использует различные уязвимости для распространения внутри сетей. К ним относятся методы взлома учетных данных, использование эксплойта EternalBlue, известного своей связью с программой-вымогателем WannaCry, а также использование уязвимостей в протоколе блокировки серверных сообщений (SMB). Такое сочетание тактик позиционирует Prometei как грозного хакера, движимого в первую очередь финансовыми мотивами.

В частности, последние версии вредоносного ПО Prometei, впервые обнаруженные в марте 2025 года, распространяются по URL-адресу, который использует HTTP-запрос GET. Метод распространения включает в себя варианты, позволяющие злоумышленникам присваивать динамические родительские идентификаторы в образцах вредоносного ПО. Этот механизм не только скрывает свое происхождение, но и облегчает целенаправленные атаки на скомпрометированные системы.

Анализ вредоносного ПО показал, что оно упаковано с использованием UPX, что делает его меньше по размеру и сложнее для анализа. При запуске вредоносное ПО само распаковывается в памяти, что позволяет обойти традиционные методы статического анализа. Исследователи отметили, что дополнительный файл конфигурации JSON, сопровождающий вредоносное ПО, усложняет попытки распаковки, поскольку он мешает стандартному процессу распаковки UPX. Понимание структуры вредоносного ПО имеет решающее значение, поскольку неправильное обращение с ним приводит к сбою обнаружения.

Для борьбы с такими развивающимися угрозами меры кибербезопасности должны включать эффективные методы обнаружения, в том числе правила YARA, нацеленные на упаковку UPX и конфигурацию JSON. Постоянный мониторинг и адаптация стратегий обнаружения угроз необходимы для того, чтобы идти в ногу с меняющимся ландшафтом ботнета Prometei и его возможностями. Поскольку эта вредоносная программа продолжает развиваться, активные и упреждающие механизмы защиты будут иметь решающее значение для смягчения ее воздействия на целевые системы.

#ParsedReport #CompletenessLow
21-06-2025

Part 2: The Iran-Israel Cyber Standoff - The State's Silent War

https://www.cloudsek.com/blog/part-2-the-iran-israel-cyber-standoff---the-states-silent-war

Report completeness: Low

Actors/Campaigns:
Apt42 (motivation: hacktivism, cyber_espionage, information_theft)
Oilrig (motivation: hacktivism, cyber_espionage, information_theft)
Muddywater (motivation: hacktivism, cyber_espionage, information_theft)
Handala (motivation: hacktivism, politically_motivated, cyber_espionage, information_theft)
Charming_kitten
Marnanbridge
Irgc (motivation: cyber_espionage)
Nemesis_kitten
Cyberav3nger (motivation: hacktivism)

Threats:
Sphynx
Dns_tunneling_technique
Supply_chain_technique
Lolbin_technique
Powerkitten
Spear-phishing_technique
Powerstats
Log4shell_vuln
Bondupdater_tool
Quadagent
Credential_harvesting_technique

Industry:
Petroleum, Education, Government, E-commerce, Chemical, Telco, Energy, Military, Ngo, Logistic

Geo:
Iranian, Palestinian, Iran, Middle east, Israeli, Israel

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.003, T1071.004, T1078, T1078.002, T1185, T1190, T1195, T1216, T1218, have more...

IOCs:
File: 1

Soft:
Telegram

Languages:
swift, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские хакеры, включая APT42, APT34, MuddyWater и Handala, все чаще атакуют Израиль и союзников посредством шпионажа, DDoS-атак и кражи учетных данных. Известные тактические приемы включают фишинг, эксплойты PowerShell и туннелирование DNS с акцентом на политические потрясения и уязвимые сектора. Для противодействия этим сложным угрозам необходимы надежные меры кибербезопасности.
-----

Недавние данные свидетельствуют о заметном росте числа кибератак, связанных с действиями иранских хакеров, нацеленных на Израиль и его союзников. Сообщается, что такие известные группы, как APT42, APT34, MuddyWater и коллектив хактивистов Handala, занимаются различными видами деятельности - от шпионажа и кражи данных до распределенных атак типа "отказ в обслуживании" (DDoS). Используемые методы включают фишинг, кражу учетных данных и использование скрытых инструментов, которые позволяют этим субъектам эффективно проникать в чувствительные сектора.

Этими кибероперациями руководят Корпус стражей Исламской революции (КСИР) и Министерство разведки и безопасности (MOIS). Ключевые действующие лица включают APT42, которая специализируется на шпионаже с помощью социальной инженерии и облачных компрометаций, MuddyWater, известную тем, что использует PowerShell и общедоступные уязвимости, и APT34, которая использует в своих атаках передовые тактики, такие как туннелирование DNS. Появление Handala свидетельствует о политически мотивированной группе, специализирующейся на DDoS-атаках и утечке данных, нацеленных на связанные с Израилем организации.

APT42 известна своими целенаправленными разведывательными действиями и изощренным пользовательским вредоносным ПО, использующим такие стратегии, как поддельные страницы входа в систему и скрытый фишинг, для получения доступа к конфиденциальным данным. Их деятельность характеризуется методичным и персонализированным подходом к выявлению отдельных лиц, особенно в академическом и правозащитном секторах, где они извлекают данные из скомпрометированных учетных записей.

MuddyWater работает под управлением MOIS и известна своей способностью поддерживать долгосрочный доступ к сетям жертв, используя такие инструменты, как бэкдоры PowerShell, и используя уязвимости приложений, в частности уязвимость Log4j. Их деятельность охватывает такие отрасли, как телекоммуникации, государственное управление и энергетика, с целью сбора разведывательных данных, имеющих отношение к интересам Ирана.

APT34 была связана с более сложными кампаниями, которые соответствуют национальным целям Ирана. Они используют пользовательское вредоносное ПО и связь на основе DNS для управления, что указывает на высокий уровень скрытности и адаптивности. Их целями часто являются финансовые службы и государственные учреждения, где они сосредоточены на сборе учетных данных и эксфильтрации данных.

Операции Handala носят явно деструктивный и политически окрашенный характер, а быстрый доступ к целям часто достигается с помощью DDoS-атак или использования известных веб-уязвимостей. Группа отдает приоритет немедленному воздействию, а не долгосрочному, часто публикуя данные на публичных платформах, чтобы усилить свои политические идеи и подорвать деятельность организаций, воспринимаемых как враждебные.

Эти текущие мероприятия подчеркивают острую необходимость для организаций усилить свои меры кибербезопасности. Рекомендации включают внедрение надежных протоколов исправления уязвимостей, мониторинг трафика DNS и внедрение систем безопасности с нулевым уровнем доверия для снижения рисков, связанных с этими продвинутыми хакерами. Последствия для организаций включают потенциальную утечку данных, сбои в работе и ущерб репутации из-за публичного раскрытия информации или перебоев в обслуживании. Соблюдение нормативных стандартов также может стать насущной проблемой после таких инцидентов.

#ParsedReport #CompletenessHigh
21-06-2025

APT36 Phishing Campaign Targets Indian Defense Using Credential-Stealing Malware

https://www.cyfirma.com/research/apt36-phishing-campaign-targets-indian-defense-using-credential-stealing-malware/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: information_theft, cyber_espionage)

Threats:
Credential_stealing_technique
Credential_harvesting_technique
Spear-phishing_technique
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique

Victims:
Indian defense personnel

Industry:
Education, Government

Geo:
Brazil, India, Indian, Pakistan

TTPs:
Tactics: 10
Technics: 54

IOCs:
Hash: 6
Domain: 18
IP: 12
Url: 1
File: 1

Algorithms:
exhibit, sha256, md5, zip

Functions:
GetStartupInfo, FindNextFileExW

Win API:
IsDebuggerPresent, IsWow64Process, FindResourceExW, CreateStreamOnHGlobal, CreateProcessW, ShellExecuteW, OpenWindowStationW, GetProcessWindowStation, SetProcessWindowStation, OpenDesktopW, have more...

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, filemanager: 1, code: 8, dump: 11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, известная как Transparent Tribe, нацелена на сотрудников министерства обороны Индии с помощью фишинговых электронных писем с вредоносными PDF-файлами, имитирующими официальные документы. Внедренная вредоносная программа перехватывает учетные данные и сообщения, используя методы антианализа, чтобы избежать обнаружения, что способствует долгосрочному проникновению в сети министерства обороны Индии.
-----

APT36, известная как Transparent Tribe, является базирующейся в Пакистане группой кибершпионажа, которая в основном нацелена на сотрудников министерства обороны Индии с помощью изощренных фишинговых кампаний. Их методы включают отправку фишинговых электронных писем с вредоносными вложениями в формате PDF, которые очень напоминают официальные правительственные документы. Когда пользователи открывают эти PDF-файлы, они сталкиваются с вводящим в заблуждение интерфейсом входа в систему, похожим на Национальный центр информатики (NIC). Это приводит к загрузке ZIP-архива, содержащего вредоносный исполняемый файл, который выдает себя за законное приложение. Конечная цель группы, по-видимому, сосредоточена на краже учетных данных, способствующей долгосрочному проникновению в индийские оборонные сети.

В фишинговой кампании широко используется встроенный PDF-файл с именем "PO-003443125.pdf". При работе с этим файлом пользователи перенаправляются на вредоносный URL-адрес, который загружает ZIP-файл с именем "PO-003443125.pdf.7z", содержащий замаскированный исполняемый файл "PO-003443125.pdf.exe". Исполняемый файл предназначен для того, чтобы вводить пользователей в заблуждение, отображая значок PDF-файла. При запуске вредоносная программа использует различные системные функции для обеспечения скрытности и уклонения от обнаружения, включая использование методов антианализа, таких как определение того, выполняется ли она в среде отладки или виртуализации с использованием “IsDebuggerPresent” и “IsWow64Process”. При обнаружении такой среды вредоносная программа завершает свою работу, тем самым избегая проверки.

Работа вредоносного ПО включает процессы, которые незаметно запускают другие приложения, управляя взаимодействиями с пользовательской средой с помощью функций манипулирования окнами. Способность управлять выполнением процессов позволяет вредоносному ПО сохранять устойчивость и скрытно выполнять вредоносные действия. Примечательно, что он может перехватывать нажатия клавиш с помощью функций GetAsyncKeyState и GetKeyState для получения большого количества данных, включая учетные данные и конфиденциальные сообщения.

Сетевые функции вредоносной программы позволяют осуществлять командно-контрольные действия, облегчая удаленный доступ и фильтрацию данных. Он использует подозрительное сетевое поведение, включая DNS-запросы к доменам с низкой репутацией и зашифрованные сообщения со своей командно-диспетчерской инфраструктурой, часто размещаемой в крупных сетях доставки контента, чтобы избежать обнаружения.

Активность, связанная с вредоносным ПО, вызывает тревогу: признаки ресурсоемкого поведения, такие как скачки производительности процессора и аномальные деревья процессов, указывают на классические признаки выполнения вредоносного ПО. Методы кражи учетных данных вредоносного ПО включают в себя использование кэшей данных браузера, учетных данных почтовых клиентов и содержимого буфера обмена с помощью методов захвата форм и кейлоггинга.

Учитывая текущую деятельность APT36, она представляет собой серьезную угрозу национальной безопасности, особенно в отношении оборонных секторов Индии. Передовые методы фишинга и кража учетных данных этой группы свидетельствуют о растущей сложности кибершпионажа. Организации, сталкивающиеся с такими угрозами, должны уделять приоритетное внимание комплексным стратегиям кибербезопасности, включая надежную защиту электронной почты, программы повышения осведомленности пользователей и системы непрерывного мониторинга, чтобы эффективно снизить эти риски.

#ParsedReport #CompletenessLow
21-06-2025

Declaration trap: Crypto Drainers masquerading as European Tax Authorities

https://www.group-ib.com/blog/declaration-trap/

Report completeness: Low

Actors/Campaigns:
Declaration_trap
Steal-it

Threats:
Inferno

Victims:
Crypto holders, Users, Dutch residents

Industry:
Financial, Government, Education

Geo:
Dutch, Netherlands

ChatGPT TTPs:
do not use without manual check
T1078, T1114, T1119, T1185, T1204.001, T1205.003, T1556.003, T1566.001, T1566.002, T1589, have more...

IOCs:
File: 9
Hash: 6
Domain: 15

Soft:
Telegram, WalletConnect

Wallets:
metamask

Functions:
sendMainINFO

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года мошенники атаковали пользователей криптовалют в Нидерландах, выдавая себя за налоговые органы и сея панику с помощью фишинговых электронных писем. Они использовали поддельные правительственные веб-сайты для кражи личной и финансовой информации, используя вредоносные методы, такие как смарт-контракты и скрипты для вывода средств из кошелька, чтобы избежать обнаружения. Эта афера отражает сдвиг в сторону психологических манипуляций, подчеркивая необходимость повышения осведомленности пользователей наряду с технологической защитой.
-----

В начале 2025 года Group-IB выявила целенаправленную мошенническую кампанию, которая использует путаницу, связанную с налогообложением криптовалют, особенно в Нидерландах. Мошенники выдают себя за официальные налоговые органы, в первую очередь за налоговую инспекцию Сша, и используют электронную почту, чтобы вызвать панику по поводу срочных требований к налоговой декларации, заманивая жертв на фишинговые веб-сайты, которые очень похожи на законные правительственные порталы.

Фишинговые электронные письма направляют жертв на эти поддельные сайты, дизайн которых имитирует подлинную государственную символику, включая логотипы и верстку. Целевые страницы запрашивают личную информацию, такую как полное имя, домашний адрес, дата рождения, контактные данные, номера банковских счетов и информация о поставщике кошелька, создавая видимость законности. Дополнительный уровень обмана достигается за счет включения полей, в которых пользователи могут указывать количество криптоактивов, которыми они владеют.

В ходе этой операции используются два основных направления атаки. Первый заключается в краже исходной фразы кошелька жертвы, в то время как второй использует вредоносные смарт-контракты для опустошения кошельков. Мошенники внедрили скрипты, которые функционально блокируют средства отладки, чтобы защитить фишинговую страницу от анализа, что позволяет избежать обнаружения. Например, скрипт с именем check.js предотвращает проверку, тем самым усложняя процесс анализа.

Кроме того, в более сложном варианте фишингового набора злоумышленники интегрировали функциональность WalletConnect, что позволяет им нацеливаться на кошельки со смарт-контрактами, которые не полагаются исключительно на закрытые ключи. Этот подход требует, чтобы жертвы отсканировали QR-код, подключив свой кошелек к вредоносному децентрализованному приложению (DApp) под видом декларирования своих активов. Подключение осуществляется с помощью последней версии wallet-connect.js скрипт, связанный с Inferno Drainer, который отправляет запросы на транзакции, замаскированные под безобидные действия, такие как "проверка права собственности" на активы. Как только жертвы одобряют эти запросы, их кошельки опустошаются в результате вредоносных транзакций, инициированных подключенным сайтом.

Эволюция этой аферы иллюстрирует изменение тактики социальной инженерии. Противники перешли от традиционных методов заманивания, таких как обещания высадки по воздуху или вознаграждения, к более психологическим стратегиям манипулирования, которые вызывают страх и безотлагательность, выдавая себя за государственные учреждения. Такая эволюция подчеркивает важность обучения пользователей и повышения их осведомленности в борьбе с этими изощренными попытками фишинга в условиях меняющегося ландшафта угроз. По мере того, как злоумышленники совершенствуют свои методы, технологические средства защиты остаются ключевыми, но их следует дополнять информационными кампаниями для снижения рисков психологических манипуляций.

#ParsedReport #CompletenessLow
21-06-2025

Part 1: The Iran-Israel Cyber Standoff - The Hacktivist Front

https://www.cloudsek.com/blog/part-1-the-iran-israel-cyber-standoff---the-hacktivist-front

Report completeness: Low

Actors/Campaigns:
Hackyourmom
Irgc
Lulzsec
Dark_storm_team
Cyber_fattah_team
Team_fearles
Nation_of_saviors
Red_wolf
Dienet (motivation: hacktivism)
Evilmorocco
Bd_anonymous
Rootsec
Handala-hacking-team
R3v0xan0nymous
Deadeye_jackal
Sindoor (motivation: hacktivism)
Rippersec (motivation: hacktivism)
Mr_hamza (motivation: hacktivism)
Noname057 (motivation: hacktivism)

Threats:
Sparrow

Victims:
Government bodies, Military systems, Critical infrastructure, Civilian services, Nuclear facilities, Tech companies, Election infrastructure, Digital platforms, American assets, European assets, have more...

Industry:
Telco, Financial, Government, Education, Energy, Critical_infrastructure, Ics, Military, Healthcare

Geo:
Israeli, Palestine, Iranian, Palestinian, Israel, Indonesia, India, Lebanon, Iran, Yemen, American

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078.001, T1087, T1135, T1499, T1565.001, T1566, T1568.002, T1583.006, T1589

Soft:
Instagram

#ParsedReport #GeneratedSchema
Generated with GPT-4