#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Скрипт PowerShell (y1.ps1) с китайского сервера действует как загрузчик шеллкода, используя выполнение в памяти, чтобы избежать обнаружения. Он использует рефлексивные методы для загрузки и выполнения полезной нагрузки, подключаясь к серверу C2, подключенному к инфраструктуре Cobalt Strike, что подчеркивает важность мониторинга SSL-сертификатов и принятия более жестких мер безопасности.
-----

Недавнее расследование подозрительного скрипта PowerShell (y1.ps1), размещенного на сервере в Китае, выявило его использование в качестве загрузчика шеллкода, который использует методы выполнения в памяти, чтобы избежать обнаружения. Это расследование было запущено 1 июня 2025 года в рамках рутинной работы по поиску угроз. В сценарии используются методы отражения для выполнения шеллкода, динамического разрешения функций Windows API и расшифровки встроенной полезной нагрузки, предназначенной для дальнейшей доставки. Он подключился к серверу второго уровня управления (C2), размещенному на Baidu Cloud Function Compute, демонстрируя активную конфигурацию после эксплуатации, связанную с инфраструктурой Cobalt Strike.

Основная стратегия обхода загрузчика PowerShell заключается в хешировании API и использовании поддельных строк пользовательского агента, что облегчает его скрытность во время операций. Расшифрованный шелл-код структурирован таким образом, чтобы инициировать подключение к серверу C2 (y2n273y10j.cfc-execute.bj.baidubce.com), используя отраженную загрузку библиотеки DLL, которая позволяет напрямую выполнять полезную нагрузку в памяти. Выполнение шеллкода начинается с настройки его среды путем обхода блока среды процесса (PEB) для поиска необходимых библиотек Windows DLL и вычисления хэшей для функций API, чтобы скрыть фактические имена, что позволяет избежать обнаружения статическим анализом.

После успешного установления HTTPS-соединения со своим сервером C2 шеллкод отправляет HTTP-запросы, включая механизм повторных попыток. После выполнения полезной нагрузки дальнейшие исследования ее конфигурации выявили, что маяк Cobalt Strike подключен к другому IP-адресу (46.173.27.142), связанному с ООО "Бегет" в России. Это соединение усилило связь с Cobalt Strike, о чем свидетельствуют данные SSL-сертификата, в которых тема сертификата обозначена как “Крупная забастовка Cobalt”, а эмитент - как “cobaltstrike”. История активности указывает на то, что этот IP-адрес, вероятно, использовался для срочных операций.

В ходе дальнейшего анализа было установлено, что методы, использованные в этой атаке, соответствуют тем, которые наблюдались в финансово мотивированных кампаниях с использованием скомпрометированной инфраструктуры Cobalt Strike. В ходе расследования была подчеркнута важность мониторинга SSL-сертификатов, связанных с известными индикаторами угроз, и принятия таких мер безопасности, как ужесточение использования PowerShell, ограничение неподписанных сценариев и ведение журнала действий для выявления любых подозрительных взаимодействий. Кроме того, блокирование известных IP-адресов угроз, внедрение эффективных решений для обнаружения конечных точек и реагирования на них, а также соблюдение бдительности в отношении необычных схем исходящего трафика могут значительно снизить риск возникновения подобных угроз.

#ParsedReport #CompletenessLow
20-06-2025

Resurgence of the Prometei Botnet

https://unit42.paloaltonetworks.com/prometei-botnet-2025-activity/

Report completeness: Low

Threats:
Prometei_botnet
Eternalblue_vuln
Wannacry
Upx_tool

Geo:
Indonesia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1027, T1059.004, T1070.004, T1071.001, T1074.001, T1102, T1105, T1110, T1135, have more...

IOCs:
Url: 3
File: 1
Hash: 10

Soft:
Linux

Crypto:
monero

Win API:
decompress

Languages:
php

Links:
https://github.com/upx/upx/blob/devel/src/p\_lx\_exc.cpp#L201
have more...
https://github.com/upx/upx/blob/devel/src/stub/src/include/header.S

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет Prometei, известный своими версиями для Linux и Windows, вновь появился с передовыми технологиями майнинга криптовалют и кражи учетных данных. Он использует модульную конструкцию, использует уязвимости, такие как EternalBlue, и использует алгоритм генерации домена для сохранения. Его развертывание предполагает использование динамических механизмов, скрывающих происхождение, в то время как упаковка в формате UPX усложняет анализ и обнаружение, подчеркивая необходимость принятия упреждающих мер кибербезопасности.
-----

Ботнет Prometei, который был первоначально идентифицирован в июле 2020 года и позже, в декабре 2020 года, получил известность благодаря своей версии для Linux, был связан со значительными угрозами кибербезопасности, в частности, с добычей криптовалют и кражей учетных данных. По состоянию на март 2025 года наблюдается заметный всплеск атак Prometei, причем продвинутые версии вредоносного ПО реализуют сложные методы и стратегии уклонения. Семейство вредоносных программ использует как Windows, так и Linux-версии, в основном нацеленные на системы майнинга Monero и другие вредоносные действия.

Prometei использует модульную архитектуру, которая повышает его адаптивность и устойчивость к противодействиям. Каждый модуль предназначен для выполнения определенных функций, таких как интеллектуальный анализ данных, кража учетных данных и потенциальное развертывание новых вредоносных программ. Эффективность его работы повышается благодаря алгоритму генерации доменов (DGA), который динамически создает доменные имена для командно-диспетчерской связи (C2), тем самым облегчая постоянные операции, даже если определенные домены заблокированы. Дополнительные возможности самообновления позволяют вредоносному ПО постоянно развиваться, адаптируясь к применяемым мерам безопасности.

Ботнет использует различные уязвимости для распространения внутри сетей. К ним относятся методы взлома учетных данных, использование эксплойта EternalBlue, известного своей связью с программой-вымогателем WannaCry, а также использование уязвимостей в протоколе блокировки серверных сообщений (SMB). Такое сочетание тактик позиционирует Prometei как грозного хакера, движимого в первую очередь финансовыми мотивами.

В частности, последние версии вредоносного ПО Prometei, впервые обнаруженные в марте 2025 года, распространяются по URL-адресу, который использует HTTP-запрос GET. Метод распространения включает в себя варианты, позволяющие злоумышленникам присваивать динамические родительские идентификаторы в образцах вредоносного ПО. Этот механизм не только скрывает свое происхождение, но и облегчает целенаправленные атаки на скомпрометированные системы.

Анализ вредоносного ПО показал, что оно упаковано с использованием UPX, что делает его меньше по размеру и сложнее для анализа. При запуске вредоносное ПО само распаковывается в памяти, что позволяет обойти традиционные методы статического анализа. Исследователи отметили, что дополнительный файл конфигурации JSON, сопровождающий вредоносное ПО, усложняет попытки распаковки, поскольку он мешает стандартному процессу распаковки UPX. Понимание структуры вредоносного ПО имеет решающее значение, поскольку неправильное обращение с ним приводит к сбою обнаружения.

Для борьбы с такими развивающимися угрозами меры кибербезопасности должны включать эффективные методы обнаружения, в том числе правила YARA, нацеленные на упаковку UPX и конфигурацию JSON. Постоянный мониторинг и адаптация стратегий обнаружения угроз необходимы для того, чтобы идти в ногу с меняющимся ландшафтом ботнета Prometei и его возможностями. Поскольку эта вредоносная программа продолжает развиваться, активные и упреждающие механизмы защиты будут иметь решающее значение для смягчения ее воздействия на целевые системы.

#ParsedReport #CompletenessLow
21-06-2025

Part 2: The Iran-Israel Cyber Standoff - The State's Silent War

https://www.cloudsek.com/blog/part-2-the-iran-israel-cyber-standoff---the-states-silent-war

Report completeness: Low

Actors/Campaigns:
Apt42 (motivation: hacktivism, cyber_espionage, information_theft)
Oilrig (motivation: hacktivism, cyber_espionage, information_theft)
Muddywater (motivation: hacktivism, cyber_espionage, information_theft)
Handala (motivation: hacktivism, politically_motivated, cyber_espionage, information_theft)
Charming_kitten
Marnanbridge
Irgc (motivation: cyber_espionage)
Nemesis_kitten
Cyberav3nger (motivation: hacktivism)

Threats:
Sphynx
Dns_tunneling_technique
Supply_chain_technique
Lolbin_technique
Powerkitten
Spear-phishing_technique
Powerstats
Log4shell_vuln
Bondupdater_tool
Quadagent
Credential_harvesting_technique

Industry:
Petroleum, Education, Government, E-commerce, Chemical, Telco, Energy, Military, Ngo, Logistic

Geo:
Iranian, Palestinian, Iran, Middle east, Israeli, Israel

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.003, T1071.004, T1078, T1078.002, T1185, T1190, T1195, T1216, T1218, have more...

IOCs:
File: 1

Soft:
Telegram

Languages:
swift, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские хакеры, включая APT42, APT34, MuddyWater и Handala, все чаще атакуют Израиль и союзников посредством шпионажа, DDoS-атак и кражи учетных данных. Известные тактические приемы включают фишинг, эксплойты PowerShell и туннелирование DNS с акцентом на политические потрясения и уязвимые сектора. Для противодействия этим сложным угрозам необходимы надежные меры кибербезопасности.
-----

Недавние данные свидетельствуют о заметном росте числа кибератак, связанных с действиями иранских хакеров, нацеленных на Израиль и его союзников. Сообщается, что такие известные группы, как APT42, APT34, MuddyWater и коллектив хактивистов Handala, занимаются различными видами деятельности - от шпионажа и кражи данных до распределенных атак типа "отказ в обслуживании" (DDoS). Используемые методы включают фишинг, кражу учетных данных и использование скрытых инструментов, которые позволяют этим субъектам эффективно проникать в чувствительные сектора.

Этими кибероперациями руководят Корпус стражей Исламской революции (КСИР) и Министерство разведки и безопасности (MOIS). Ключевые действующие лица включают APT42, которая специализируется на шпионаже с помощью социальной инженерии и облачных компрометаций, MuddyWater, известную тем, что использует PowerShell и общедоступные уязвимости, и APT34, которая использует в своих атаках передовые тактики, такие как туннелирование DNS. Появление Handala свидетельствует о политически мотивированной группе, специализирующейся на DDoS-атаках и утечке данных, нацеленных на связанные с Израилем организации.

APT42 известна своими целенаправленными разведывательными действиями и изощренным пользовательским вредоносным ПО, использующим такие стратегии, как поддельные страницы входа в систему и скрытый фишинг, для получения доступа к конфиденциальным данным. Их деятельность характеризуется методичным и персонализированным подходом к выявлению отдельных лиц, особенно в академическом и правозащитном секторах, где они извлекают данные из скомпрометированных учетных записей.

MuddyWater работает под управлением MOIS и известна своей способностью поддерживать долгосрочный доступ к сетям жертв, используя такие инструменты, как бэкдоры PowerShell, и используя уязвимости приложений, в частности уязвимость Log4j. Их деятельность охватывает такие отрасли, как телекоммуникации, государственное управление и энергетика, с целью сбора разведывательных данных, имеющих отношение к интересам Ирана.

APT34 была связана с более сложными кампаниями, которые соответствуют национальным целям Ирана. Они используют пользовательское вредоносное ПО и связь на основе DNS для управления, что указывает на высокий уровень скрытности и адаптивности. Их целями часто являются финансовые службы и государственные учреждения, где они сосредоточены на сборе учетных данных и эксфильтрации данных.

Операции Handala носят явно деструктивный и политически окрашенный характер, а быстрый доступ к целям часто достигается с помощью DDoS-атак или использования известных веб-уязвимостей. Группа отдает приоритет немедленному воздействию, а не долгосрочному, часто публикуя данные на публичных платформах, чтобы усилить свои политические идеи и подорвать деятельность организаций, воспринимаемых как враждебные.

Эти текущие мероприятия подчеркивают острую необходимость для организаций усилить свои меры кибербезопасности. Рекомендации включают внедрение надежных протоколов исправления уязвимостей, мониторинг трафика DNS и внедрение систем безопасности с нулевым уровнем доверия для снижения рисков, связанных с этими продвинутыми хакерами. Последствия для организаций включают потенциальную утечку данных, сбои в работе и ущерб репутации из-за публичного раскрытия информации или перебоев в обслуживании. Соблюдение нормативных стандартов также может стать насущной проблемой после таких инцидентов.

#ParsedReport #CompletenessHigh
21-06-2025

APT36 Phishing Campaign Targets Indian Defense Using Credential-Stealing Malware

https://www.cyfirma.com/research/apt36-phishing-campaign-targets-indian-defense-using-credential-stealing-malware/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: information_theft, cyber_espionage)

Threats:
Credential_stealing_technique
Credential_harvesting_technique
Spear-phishing_technique
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique

Victims:
Indian defense personnel

Industry:
Education, Government

Geo:
Brazil, India, Indian, Pakistan

TTPs:
Tactics: 10
Technics: 54

IOCs:
Hash: 6
Domain: 18
IP: 12
Url: 1
File: 1

Algorithms:
exhibit, sha256, md5, zip

Functions:
GetStartupInfo, FindNextFileExW

Win API:
IsDebuggerPresent, IsWow64Process, FindResourceExW, CreateStreamOnHGlobal, CreateProcessW, ShellExecuteW, OpenWindowStationW, GetProcessWindowStation, SetProcessWindowStation, OpenDesktopW, have more...

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, filemanager: 1, code: 8, dump: 11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, известная как Transparent Tribe, нацелена на сотрудников министерства обороны Индии с помощью фишинговых электронных писем с вредоносными PDF-файлами, имитирующими официальные документы. Внедренная вредоносная программа перехватывает учетные данные и сообщения, используя методы антианализа, чтобы избежать обнаружения, что способствует долгосрочному проникновению в сети министерства обороны Индии.
-----

APT36, известная как Transparent Tribe, является базирующейся в Пакистане группой кибершпионажа, которая в основном нацелена на сотрудников министерства обороны Индии с помощью изощренных фишинговых кампаний. Их методы включают отправку фишинговых электронных писем с вредоносными вложениями в формате PDF, которые очень напоминают официальные правительственные документы. Когда пользователи открывают эти PDF-файлы, они сталкиваются с вводящим в заблуждение интерфейсом входа в систему, похожим на Национальный центр информатики (NIC). Это приводит к загрузке ZIP-архива, содержащего вредоносный исполняемый файл, который выдает себя за законное приложение. Конечная цель группы, по-видимому, сосредоточена на краже учетных данных, способствующей долгосрочному проникновению в индийские оборонные сети.

В фишинговой кампании широко используется встроенный PDF-файл с именем "PO-003443125.pdf". При работе с этим файлом пользователи перенаправляются на вредоносный URL-адрес, который загружает ZIP-файл с именем "PO-003443125.pdf.7z", содержащий замаскированный исполняемый файл "PO-003443125.pdf.exe". Исполняемый файл предназначен для того, чтобы вводить пользователей в заблуждение, отображая значок PDF-файла. При запуске вредоносная программа использует различные системные функции для обеспечения скрытности и уклонения от обнаружения, включая использование методов антианализа, таких как определение того, выполняется ли она в среде отладки или виртуализации с использованием “IsDebuggerPresent” и “IsWow64Process”. При обнаружении такой среды вредоносная программа завершает свою работу, тем самым избегая проверки.

Работа вредоносного ПО включает процессы, которые незаметно запускают другие приложения, управляя взаимодействиями с пользовательской средой с помощью функций манипулирования окнами. Способность управлять выполнением процессов позволяет вредоносному ПО сохранять устойчивость и скрытно выполнять вредоносные действия. Примечательно, что он может перехватывать нажатия клавиш с помощью функций GetAsyncKeyState и GetKeyState для получения большого количества данных, включая учетные данные и конфиденциальные сообщения.

Сетевые функции вредоносной программы позволяют осуществлять командно-контрольные действия, облегчая удаленный доступ и фильтрацию данных. Он использует подозрительное сетевое поведение, включая DNS-запросы к доменам с низкой репутацией и зашифрованные сообщения со своей командно-диспетчерской инфраструктурой, часто размещаемой в крупных сетях доставки контента, чтобы избежать обнаружения.

Активность, связанная с вредоносным ПО, вызывает тревогу: признаки ресурсоемкого поведения, такие как скачки производительности процессора и аномальные деревья процессов, указывают на классические признаки выполнения вредоносного ПО. Методы кражи учетных данных вредоносного ПО включают в себя использование кэшей данных браузера, учетных данных почтовых клиентов и содержимого буфера обмена с помощью методов захвата форм и кейлоггинга.

Учитывая текущую деятельность APT36, она представляет собой серьезную угрозу национальной безопасности, особенно в отношении оборонных секторов Индии. Передовые методы фишинга и кража учетных данных этой группы свидетельствуют о растущей сложности кибершпионажа. Организации, сталкивающиеся с такими угрозами, должны уделять приоритетное внимание комплексным стратегиям кибербезопасности, включая надежную защиту электронной почты, программы повышения осведомленности пользователей и системы непрерывного мониторинга, чтобы эффективно снизить эти риски.

#ParsedReport #CompletenessLow
21-06-2025

Declaration trap: Crypto Drainers masquerading as European Tax Authorities

https://www.group-ib.com/blog/declaration-trap/

Report completeness: Low

Actors/Campaigns:
Declaration_trap
Steal-it

Threats:
Inferno

Victims:
Crypto holders, Users, Dutch residents

Industry:
Financial, Government, Education

Geo:
Dutch, Netherlands

ChatGPT TTPs:
do not use without manual check
T1078, T1114, T1119, T1185, T1204.001, T1205.003, T1556.003, T1566.001, T1566.002, T1589, have more...

IOCs:
File: 9
Hash: 6
Domain: 15

Soft:
Telegram, WalletConnect

Wallets:
metamask

Functions:
sendMainINFO

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года мошенники атаковали пользователей криптовалют в Нидерландах, выдавая себя за налоговые органы и сея панику с помощью фишинговых электронных писем. Они использовали поддельные правительственные веб-сайты для кражи личной и финансовой информации, используя вредоносные методы, такие как смарт-контракты и скрипты для вывода средств из кошелька, чтобы избежать обнаружения. Эта афера отражает сдвиг в сторону психологических манипуляций, подчеркивая необходимость повышения осведомленности пользователей наряду с технологической защитой.
-----

В начале 2025 года Group-IB выявила целенаправленную мошенническую кампанию, которая использует путаницу, связанную с налогообложением криптовалют, особенно в Нидерландах. Мошенники выдают себя за официальные налоговые органы, в первую очередь за налоговую инспекцию Сша, и используют электронную почту, чтобы вызвать панику по поводу срочных требований к налоговой декларации, заманивая жертв на фишинговые веб-сайты, которые очень похожи на законные правительственные порталы.

Фишинговые электронные письма направляют жертв на эти поддельные сайты, дизайн которых имитирует подлинную государственную символику, включая логотипы и верстку. Целевые страницы запрашивают личную информацию, такую как полное имя, домашний адрес, дата рождения, контактные данные, номера банковских счетов и информация о поставщике кошелька, создавая видимость законности. Дополнительный уровень обмана достигается за счет включения полей, в которых пользователи могут указывать количество криптоактивов, которыми они владеют.

В ходе этой операции используются два основных направления атаки. Первый заключается в краже исходной фразы кошелька жертвы, в то время как второй использует вредоносные смарт-контракты для опустошения кошельков. Мошенники внедрили скрипты, которые функционально блокируют средства отладки, чтобы защитить фишинговую страницу от анализа, что позволяет избежать обнаружения. Например, скрипт с именем check.js предотвращает проверку, тем самым усложняя процесс анализа.

Кроме того, в более сложном варианте фишингового набора злоумышленники интегрировали функциональность WalletConnect, что позволяет им нацеливаться на кошельки со смарт-контрактами, которые не полагаются исключительно на закрытые ключи. Этот подход требует, чтобы жертвы отсканировали QR-код, подключив свой кошелек к вредоносному децентрализованному приложению (DApp) под видом декларирования своих активов. Подключение осуществляется с помощью последней версии wallet-connect.js скрипт, связанный с Inferno Drainer, который отправляет запросы на транзакции, замаскированные под безобидные действия, такие как "проверка права собственности" на активы. Как только жертвы одобряют эти запросы, их кошельки опустошаются в результате вредоносных транзакций, инициированных подключенным сайтом.

Эволюция этой аферы иллюстрирует изменение тактики социальной инженерии. Противники перешли от традиционных методов заманивания, таких как обещания высадки по воздуху или вознаграждения, к более психологическим стратегиям манипулирования, которые вызывают страх и безотлагательность, выдавая себя за государственные учреждения. Такая эволюция подчеркивает важность обучения пользователей и повышения их осведомленности в борьбе с этими изощренными попытками фишинга в условиях меняющегося ландшафта угроз. По мере того, как злоумышленники совершенствуют свои методы, технологические средства защиты остаются ключевыми, но их следует дополнять информационными кампаниями для снижения рисков психологических манипуляций.

#ParsedReport #CompletenessLow
21-06-2025

Part 1: The Iran-Israel Cyber Standoff - The Hacktivist Front

https://www.cloudsek.com/blog/part-1-the-iran-israel-cyber-standoff---the-hacktivist-front

Report completeness: Low

Actors/Campaigns:
Hackyourmom
Irgc
Lulzsec
Dark_storm_team
Cyber_fattah_team
Team_fearles
Nation_of_saviors
Red_wolf
Dienet (motivation: hacktivism)
Evilmorocco
Bd_anonymous
Rootsec
Handala-hacking-team
R3v0xan0nymous
Deadeye_jackal
Sindoor (motivation: hacktivism)
Rippersec (motivation: hacktivism)
Mr_hamza (motivation: hacktivism)
Noname057 (motivation: hacktivism)

Threats:
Sparrow

Victims:
Government bodies, Military systems, Critical infrastructure, Civilian services, Nuclear facilities, Tech companies, Election infrastructure, Digital platforms, American assets, European assets, have more...

Industry:
Telco, Financial, Government, Education, Energy, Critical_infrastructure, Ics, Military, Healthcare

Geo:
Israeli, Palestine, Iranian, Palestinian, Israel, Indonesia, India, Lebanon, Iran, Yemen, American

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078.001, T1087, T1135, T1499, T1565.001, T1566, T1568.002, T1583.006, T1589

Soft:
Instagram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С 12 по 18 июня 2025 года более 35 проиранских группировок хактивистов координировали атаки на израильские организации с использованием DDoS-атак, взлома веб-сайтов и утечки данных, в первую очередь нацеленных на военный и правительственный секторы. Несмотря на большое количество атак, реакция произраильских группировок была ограниченной, что отражает тактическую последовательность действий хактивистов.
-----

В период с 12 по 18 июня 2025 года наблюдался заметный рост активности кибер-хактивистов, нацеленных на израильские организации, когда более 35 проиранских группировок хактивистов предприняли скоординированные кибератаки. В этих атаках, в основном, использовались методы распределенного отказа в обслуживании (DDoS), а также атаки на веб-сайты и заявления о взломе данных, нацеленные на военные, правительственные и критически важные сектора инфраструктуры. Этот период отражает тактическую последовательность, наблюдавшуюся в течение предыдущего года, что позволяет предположить, что эти группы не значительно усовершенствовали свои методы атак. Несмотря на большое количество нападений, реакция произраильских группировок оставалась ограниченной, и только 4-5 групп активно участвовали в контрмерах.

Методы злоумышленников демонстрировали сочетание простоты и случайной сложности, включая базовые DDoS-атаки наряду с более сложными атаками, в которых могли быть задействованы промышленные системы управления (ICS). Географическое распределение проиранских группировок выходит за пределы Ирана и включает Палестину, Индонезию, Ливан, Йемен и филиалы международного движения Anonymous. Напротив, произраильские террористы, как правило, сосредотачивались на более целенаправленных операциях против инфраструктуры, включая ядерные объекты и военные объекты.

Эти атаки усилились против различных секторов, уделяя особое внимание государственным органам, избирательной инфраструктуре и популярным цифровым платформам. Геополитический контекст указывает на то, что пророссийские группы хактивистов нацелились на выборы в Европейский парламент, в то время как пропалестинские и исламистские группировки нацелились на израильские и индийские организации после военных действий. Мотивы, стоящие за этими кибератаками, часто связаны с реальными событиями, воспринимаемыми как несправедливость, под влиянием национализма, антизападных настроений или религиозных идеологий.

В основном используются такие тактики, как DDoS-атаки, взломы веб-сайтов и утечки базовых данных, которые обычно происходят из-за скомпрометированных учетных данных или уязвимостей в конфигурациях безопасности. Заслуживающие внимания группы, такие как RipperSec и Mr_Hamza, использовали многогранные стратегии, сочетая удаление с попытками взлома. Однако, несмотря на рост числа многовекторных DDoS-атак и кратковременных утечек данных, общее техническое исполнение остается относительно простым.

Важнейшим аспектом таких операций является манипулирование информацией и проблемы с установлением авторства. Многие группы склонны преувеличивать последствия своих нарушений, приписывать себе ответственность за несвязанные инциденты и повторно использовать старые утечки данных, чтобы привлечь к ним внимание. Неоднозначность в атрибуции усугубляется совпадающими групповыми идентичностями и общими тематическими элементами, что подчеркивает подчеркнуто театральный характер деятельности хактивистов. Несмотря на некоторую согласованность действий конкретных участников, таких как NoName057(16) и DieNet, киберпространство по-прежнему переполнено раздутыми заявлениями и дезинформацией, что затрудняет точную оценку угроз.

#ParsedReport #CompletenessMedium
22-06-2025

Mocha Manakin delivers custom NodeJS backdoor via paste and run

https://redcanary.com/blog/threat-intelligence/mocha-manakin-nodejs-backdoor/

Report completeness: Medium

Actors/Campaigns:
Mocha_manakin

Threats:
Nodeinitrat
Clickfix_technique
Fakecaptcha_technique
Lumma_stealer
Hijackloader
Vidar_stealer
Interlock
Nltest_tool

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1027, T1047, T1059.001, T1059.003, T1071.001, T1078, T1105, T1140, have more...

IOCs:
Command: 5
Url: 2
File: 11
Registry: 1
Path: 3
IP: 1

Soft:
Windows Registry

Algorithms:
xor, zip, gzip

Functions:
Get-Service, Get-PSDrive

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mocha Manakin использует метод "ClickFix" для выполнения сценария PowerShell, который загружает полезные файлы, такие как LummaC2 и Vidar. В нем используется пользовательский бэкдор NodeInitRAT для NodeJS для сохранения и разведки, который обменивается данными по протоколу HTTP с помощью методов обфускации. Стратегии обнаружения должны быть нацелены на node.exe процессы и необычный сетевой трафик, в то время как меры по предотвращению включают блокировку связанных доменов и обучение пользователей, чтобы предотвратить выполнение вредоносных команд.
-----

В действиях Mocha Manakin, которые начали отслеживаться в январе 2025 года, используется метод, известный как "ClickFix", для получения первоначального доступа к системам. Этот метод заставляет пользователей выполнять скрипт PowerShell, который загружает дополнительные вредоносные данные из инфраструктуры, контролируемой злоумышленниками. Он был связан с различными полезными приложениями, такими как LummaC2, HijackLoader и Vidar. Mocha Manakin отличается использованием пользовательского бэкдора NodeJS под названием NodeInitRAT, который позволяет злоумышленнику сохранять работоспособность скомпрометированной системы и проводить разведывательные операции.

NodeInitRAT предназначен для взаимодействия с враждебными серверами по протоколу HTTP, часто используя туннели Cloudflare для сокрытия своего трафика. Бэкдор позволяет выполнять произвольные команды и развертывать дополнительные вредоносные программы. Хотя по состоянию на май 2025 года ни один случай активности Mocha Manakin еще не привел к появлению программ-вымогателей, существует умеренная степень уверенности в том, что постоянные инциденты могут в конечном итоге привести к более серьезным угрозам, таким как программы-вымогатели, учитывая их совпадения с известными операциями программ-вымогателей Interlock.

Технология вставки и запуска по-прежнему широко распространена благодаря своей эффективности в привлечении пользователей. Она использует поведение человека, предлагая вводящие в заблуждение шаги проверки, которые заставляют пользователей непреднамеренно запускать вредоносные команды PowerShell. После выполнения эти команды запускают загрузчик PowerShell, который извлекает ZIP-файл, содержащий допустимый исполняемый файл Node.js. После извлечения запускается NodeInitRAT, который может устанавливать постоянство с помощью записей реестра Windows, проводить системную разведку и инициировать связь с внешними серверами.

Возможности NodeInitRAT включают в себя выдачу команд для перечисления контроллеров домена, доверенных доменов и имен участников службы, а также развертывание различных вредоносных программ. Чтобы избежать обнаружения, он использует кодировку XOR и сжатие GZIP для передачи данных. Стратегии борьбы с этой угрозой включают отключение горячих клавиш Windows для предотвращения выполнения методов вставки и запуска, обучение пользователей для повышения осведомленности о такой тактике и активный мониторинг процессов, связанных с node.exe, что указывает на активность NodeInitRAT.

В случаях обнаружения NodeInitRAT критически важно остановить node.exe процессы и удалить связанные с ними постоянные файлы из системы пользователя. Специалистам по безопасности рекомендуется заблокировать сетевые коммуникации, связанные с RAT, в том числе заблокировать домены, связанные с его командной строкой, и внедрить соответствующие правила брандмауэра. Учитывая, что инфраструктура часто использует легальные сервисы, такие как Cloudflare, бдительность при мониторинге сетевого трафика на предмет необычных запросов необходима для раннего обнаружения NodeInitRAT и подобных угроз. Кроме того, стратегии обнаружения должны быть направлены на выявление случаев node.exe, которые пытаются создать ключи запуска реестра, поскольку такое поведение обычно указывает на скомпрометированную систему.