#ParsedReport #CompletenessHigh
21-06-2025

APT36 Phishing Campaign Targets Indian Defense Using Credential-Stealing Malware

https://www.cyfirma.com/research/apt36-phishing-campaign-targets-indian-defense-using-credential-stealing-malware/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: information_theft, cyber_espionage)

Threats:
Credential_stealing_technique
Credential_harvesting_technique
Spear-phishing_technique
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique

Victims:
Indian defense personnel

Industry:
Education, Government

Geo:
Brazil, India, Indian, Pakistan

TTPs:
Tactics: 10
Technics: 54

IOCs:
Hash: 6
Domain: 18
IP: 12
Url: 1
File: 1

Algorithms:
exhibit, sha256, md5, zip

Functions:
GetStartupInfo, FindNextFileExW

Win API:
IsDebuggerPresent, IsWow64Process, FindResourceExW, CreateStreamOnHGlobal, CreateProcessW, ShellExecuteW, OpenWindowStationW, GetProcessWindowStation, SetProcessWindowStation, OpenDesktopW, have more...

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, filemanager: 1, code: 8, dump: 11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, известная как Transparent Tribe, нацелена на сотрудников министерства обороны Индии с помощью фишинговых электронных писем с вредоносными PDF-файлами, имитирующими официальные документы. Внедренная вредоносная программа перехватывает учетные данные и сообщения, используя методы антианализа, чтобы избежать обнаружения, что способствует долгосрочному проникновению в сети министерства обороны Индии.
-----

APT36, известная как Transparent Tribe, является базирующейся в Пакистане группой кибершпионажа, которая в основном нацелена на сотрудников министерства обороны Индии с помощью изощренных фишинговых кампаний. Их методы включают отправку фишинговых электронных писем с вредоносными вложениями в формате PDF, которые очень напоминают официальные правительственные документы. Когда пользователи открывают эти PDF-файлы, они сталкиваются с вводящим в заблуждение интерфейсом входа в систему, похожим на Национальный центр информатики (NIC). Это приводит к загрузке ZIP-архива, содержащего вредоносный исполняемый файл, который выдает себя за законное приложение. Конечная цель группы, по-видимому, сосредоточена на краже учетных данных, способствующей долгосрочному проникновению в индийские оборонные сети.

В фишинговой кампании широко используется встроенный PDF-файл с именем "PO-003443125.pdf". При работе с этим файлом пользователи перенаправляются на вредоносный URL-адрес, который загружает ZIP-файл с именем "PO-003443125.pdf.7z", содержащий замаскированный исполняемый файл "PO-003443125.pdf.exe". Исполняемый файл предназначен для того, чтобы вводить пользователей в заблуждение, отображая значок PDF-файла. При запуске вредоносная программа использует различные системные функции для обеспечения скрытности и уклонения от обнаружения, включая использование методов антианализа, таких как определение того, выполняется ли она в среде отладки или виртуализации с использованием “IsDebuggerPresent” и “IsWow64Process”. При обнаружении такой среды вредоносная программа завершает свою работу, тем самым избегая проверки.

Работа вредоносного ПО включает процессы, которые незаметно запускают другие приложения, управляя взаимодействиями с пользовательской средой с помощью функций манипулирования окнами. Способность управлять выполнением процессов позволяет вредоносному ПО сохранять устойчивость и скрытно выполнять вредоносные действия. Примечательно, что он может перехватывать нажатия клавиш с помощью функций GetAsyncKeyState и GetKeyState для получения большого количества данных, включая учетные данные и конфиденциальные сообщения.

Сетевые функции вредоносной программы позволяют осуществлять командно-контрольные действия, облегчая удаленный доступ и фильтрацию данных. Он использует подозрительное сетевое поведение, включая DNS-запросы к доменам с низкой репутацией и зашифрованные сообщения со своей командно-диспетчерской инфраструктурой, часто размещаемой в крупных сетях доставки контента, чтобы избежать обнаружения.

Активность, связанная с вредоносным ПО, вызывает тревогу: признаки ресурсоемкого поведения, такие как скачки производительности процессора и аномальные деревья процессов, указывают на классические признаки выполнения вредоносного ПО. Методы кражи учетных данных вредоносного ПО включают в себя использование кэшей данных браузера, учетных данных почтовых клиентов и содержимого буфера обмена с помощью методов захвата форм и кейлоггинга.

Учитывая текущую деятельность APT36, она представляет собой серьезную угрозу национальной безопасности, особенно в отношении оборонных секторов Индии. Передовые методы фишинга и кража учетных данных этой группы свидетельствуют о растущей сложности кибершпионажа. Организации, сталкивающиеся с такими угрозами, должны уделять приоритетное внимание комплексным стратегиям кибербезопасности, включая надежную защиту электронной почты, программы повышения осведомленности пользователей и системы непрерывного мониторинга, чтобы эффективно снизить эти риски.

#ParsedReport #CompletenessLow
21-06-2025

Declaration trap: Crypto Drainers masquerading as European Tax Authorities

https://www.group-ib.com/blog/declaration-trap/

Report completeness: Low

Actors/Campaigns:
Declaration_trap
Steal-it

Threats:
Inferno

Victims:
Crypto holders, Users, Dutch residents

Industry:
Financial, Government, Education

Geo:
Dutch, Netherlands

ChatGPT TTPs:
do not use without manual check
T1078, T1114, T1119, T1185, T1204.001, T1205.003, T1556.003, T1566.001, T1566.002, T1589, have more...

IOCs:
File: 9
Hash: 6
Domain: 15

Soft:
Telegram, WalletConnect

Wallets:
metamask

Functions:
sendMainINFO

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года мошенники атаковали пользователей криптовалют в Нидерландах, выдавая себя за налоговые органы и сея панику с помощью фишинговых электронных писем. Они использовали поддельные правительственные веб-сайты для кражи личной и финансовой информации, используя вредоносные методы, такие как смарт-контракты и скрипты для вывода средств из кошелька, чтобы избежать обнаружения. Эта афера отражает сдвиг в сторону психологических манипуляций, подчеркивая необходимость повышения осведомленности пользователей наряду с технологической защитой.
-----

В начале 2025 года Group-IB выявила целенаправленную мошенническую кампанию, которая использует путаницу, связанную с налогообложением криптовалют, особенно в Нидерландах. Мошенники выдают себя за официальные налоговые органы, в первую очередь за налоговую инспекцию Сша, и используют электронную почту, чтобы вызвать панику по поводу срочных требований к налоговой декларации, заманивая жертв на фишинговые веб-сайты, которые очень похожи на законные правительственные порталы.

Фишинговые электронные письма направляют жертв на эти поддельные сайты, дизайн которых имитирует подлинную государственную символику, включая логотипы и верстку. Целевые страницы запрашивают личную информацию, такую как полное имя, домашний адрес, дата рождения, контактные данные, номера банковских счетов и информация о поставщике кошелька, создавая видимость законности. Дополнительный уровень обмана достигается за счет включения полей, в которых пользователи могут указывать количество криптоактивов, которыми они владеют.

В ходе этой операции используются два основных направления атаки. Первый заключается в краже исходной фразы кошелька жертвы, в то время как второй использует вредоносные смарт-контракты для опустошения кошельков. Мошенники внедрили скрипты, которые функционально блокируют средства отладки, чтобы защитить фишинговую страницу от анализа, что позволяет избежать обнаружения. Например, скрипт с именем check.js предотвращает проверку, тем самым усложняя процесс анализа.

Кроме того, в более сложном варианте фишингового набора злоумышленники интегрировали функциональность WalletConnect, что позволяет им нацеливаться на кошельки со смарт-контрактами, которые не полагаются исключительно на закрытые ключи. Этот подход требует, чтобы жертвы отсканировали QR-код, подключив свой кошелек к вредоносному децентрализованному приложению (DApp) под видом декларирования своих активов. Подключение осуществляется с помощью последней версии wallet-connect.js скрипт, связанный с Inferno Drainer, который отправляет запросы на транзакции, замаскированные под безобидные действия, такие как "проверка права собственности" на активы. Как только жертвы одобряют эти запросы, их кошельки опустошаются в результате вредоносных транзакций, инициированных подключенным сайтом.

Эволюция этой аферы иллюстрирует изменение тактики социальной инженерии. Противники перешли от традиционных методов заманивания, таких как обещания высадки по воздуху или вознаграждения, к более психологическим стратегиям манипулирования, которые вызывают страх и безотлагательность, выдавая себя за государственные учреждения. Такая эволюция подчеркивает важность обучения пользователей и повышения их осведомленности в борьбе с этими изощренными попытками фишинга в условиях меняющегося ландшафта угроз. По мере того, как злоумышленники совершенствуют свои методы, технологические средства защиты остаются ключевыми, но их следует дополнять информационными кампаниями для снижения рисков психологических манипуляций.

#ParsedReport #CompletenessLow
21-06-2025

Part 1: The Iran-Israel Cyber Standoff - The Hacktivist Front

https://www.cloudsek.com/blog/part-1-the-iran-israel-cyber-standoff---the-hacktivist-front

Report completeness: Low

Actors/Campaigns:
Hackyourmom
Irgc
Lulzsec
Dark_storm_team
Cyber_fattah_team
Team_fearles
Nation_of_saviors
Red_wolf
Dienet (motivation: hacktivism)
Evilmorocco
Bd_anonymous
Rootsec
Handala-hacking-team
R3v0xan0nymous
Deadeye_jackal
Sindoor (motivation: hacktivism)
Rippersec (motivation: hacktivism)
Mr_hamza (motivation: hacktivism)
Noname057 (motivation: hacktivism)

Threats:
Sparrow

Victims:
Government bodies, Military systems, Critical infrastructure, Civilian services, Nuclear facilities, Tech companies, Election infrastructure, Digital platforms, American assets, European assets, have more...

Industry:
Telco, Financial, Government, Education, Energy, Critical_infrastructure, Ics, Military, Healthcare

Geo:
Israeli, Palestine, Iranian, Palestinian, Israel, Indonesia, India, Lebanon, Iran, Yemen, American

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078.001, T1087, T1135, T1499, T1565.001, T1566, T1568.002, T1583.006, T1589

Soft:
Instagram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С 12 по 18 июня 2025 года более 35 проиранских группировок хактивистов координировали атаки на израильские организации с использованием DDoS-атак, взлома веб-сайтов и утечки данных, в первую очередь нацеленных на военный и правительственный секторы. Несмотря на большое количество атак, реакция произраильских группировок была ограниченной, что отражает тактическую последовательность действий хактивистов.
-----

В период с 12 по 18 июня 2025 года наблюдался заметный рост активности кибер-хактивистов, нацеленных на израильские организации, когда более 35 проиранских группировок хактивистов предприняли скоординированные кибератаки. В этих атаках, в основном, использовались методы распределенного отказа в обслуживании (DDoS), а также атаки на веб-сайты и заявления о взломе данных, нацеленные на военные, правительственные и критически важные сектора инфраструктуры. Этот период отражает тактическую последовательность, наблюдавшуюся в течение предыдущего года, что позволяет предположить, что эти группы не значительно усовершенствовали свои методы атак. Несмотря на большое количество нападений, реакция произраильских группировок оставалась ограниченной, и только 4-5 групп активно участвовали в контрмерах.

Методы злоумышленников демонстрировали сочетание простоты и случайной сложности, включая базовые DDoS-атаки наряду с более сложными атаками, в которых могли быть задействованы промышленные системы управления (ICS). Географическое распределение проиранских группировок выходит за пределы Ирана и включает Палестину, Индонезию, Ливан, Йемен и филиалы международного движения Anonymous. Напротив, произраильские террористы, как правило, сосредотачивались на более целенаправленных операциях против инфраструктуры, включая ядерные объекты и военные объекты.

Эти атаки усилились против различных секторов, уделяя особое внимание государственным органам, избирательной инфраструктуре и популярным цифровым платформам. Геополитический контекст указывает на то, что пророссийские группы хактивистов нацелились на выборы в Европейский парламент, в то время как пропалестинские и исламистские группировки нацелились на израильские и индийские организации после военных действий. Мотивы, стоящие за этими кибератаками, часто связаны с реальными событиями, воспринимаемыми как несправедливость, под влиянием национализма, антизападных настроений или религиозных идеологий.

В основном используются такие тактики, как DDoS-атаки, взломы веб-сайтов и утечки базовых данных, которые обычно происходят из-за скомпрометированных учетных данных или уязвимостей в конфигурациях безопасности. Заслуживающие внимания группы, такие как RipperSec и Mr_Hamza, использовали многогранные стратегии, сочетая удаление с попытками взлома. Однако, несмотря на рост числа многовекторных DDoS-атак и кратковременных утечек данных, общее техническое исполнение остается относительно простым.

Важнейшим аспектом таких операций является манипулирование информацией и проблемы с установлением авторства. Многие группы склонны преувеличивать последствия своих нарушений, приписывать себе ответственность за несвязанные инциденты и повторно использовать старые утечки данных, чтобы привлечь к ним внимание. Неоднозначность в атрибуции усугубляется совпадающими групповыми идентичностями и общими тематическими элементами, что подчеркивает подчеркнуто театральный характер деятельности хактивистов. Несмотря на некоторую согласованность действий конкретных участников, таких как NoName057(16) и DieNet, киберпространство по-прежнему переполнено раздутыми заявлениями и дезинформацией, что затрудняет точную оценку угроз.

#ParsedReport #CompletenessMedium
22-06-2025

Mocha Manakin delivers custom NodeJS backdoor via paste and run

https://redcanary.com/blog/threat-intelligence/mocha-manakin-nodejs-backdoor/

Report completeness: Medium

Actors/Campaigns:
Mocha_manakin

Threats:
Nodeinitrat
Clickfix_technique
Fakecaptcha_technique
Lumma_stealer
Hijackloader
Vidar_stealer
Interlock
Nltest_tool

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1027, T1047, T1059.001, T1059.003, T1071.001, T1078, T1105, T1140, have more...

IOCs:
Command: 5
Url: 2
File: 11
Registry: 1
Path: 3
IP: 1

Soft:
Windows Registry

Algorithms:
xor, zip, gzip

Functions:
Get-Service, Get-PSDrive

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mocha Manakin использует метод "ClickFix" для выполнения сценария PowerShell, который загружает полезные файлы, такие как LummaC2 и Vidar. В нем используется пользовательский бэкдор NodeInitRAT для NodeJS для сохранения и разведки, который обменивается данными по протоколу HTTP с помощью методов обфускации. Стратегии обнаружения должны быть нацелены на node.exe процессы и необычный сетевой трафик, в то время как меры по предотвращению включают блокировку связанных доменов и обучение пользователей, чтобы предотвратить выполнение вредоносных команд.
-----

В действиях Mocha Manakin, которые начали отслеживаться в январе 2025 года, используется метод, известный как "ClickFix", для получения первоначального доступа к системам. Этот метод заставляет пользователей выполнять скрипт PowerShell, который загружает дополнительные вредоносные данные из инфраструктуры, контролируемой злоумышленниками. Он был связан с различными полезными приложениями, такими как LummaC2, HijackLoader и Vidar. Mocha Manakin отличается использованием пользовательского бэкдора NodeJS под названием NodeInitRAT, который позволяет злоумышленнику сохранять работоспособность скомпрометированной системы и проводить разведывательные операции.

NodeInitRAT предназначен для взаимодействия с враждебными серверами по протоколу HTTP, часто используя туннели Cloudflare для сокрытия своего трафика. Бэкдор позволяет выполнять произвольные команды и развертывать дополнительные вредоносные программы. Хотя по состоянию на май 2025 года ни один случай активности Mocha Manakin еще не привел к появлению программ-вымогателей, существует умеренная степень уверенности в том, что постоянные инциденты могут в конечном итоге привести к более серьезным угрозам, таким как программы-вымогатели, учитывая их совпадения с известными операциями программ-вымогателей Interlock.

Технология вставки и запуска по-прежнему широко распространена благодаря своей эффективности в привлечении пользователей. Она использует поведение человека, предлагая вводящие в заблуждение шаги проверки, которые заставляют пользователей непреднамеренно запускать вредоносные команды PowerShell. После выполнения эти команды запускают загрузчик PowerShell, который извлекает ZIP-файл, содержащий допустимый исполняемый файл Node.js. После извлечения запускается NodeInitRAT, который может устанавливать постоянство с помощью записей реестра Windows, проводить системную разведку и инициировать связь с внешними серверами.

Возможности NodeInitRAT включают в себя выдачу команд для перечисления контроллеров домена, доверенных доменов и имен участников службы, а также развертывание различных вредоносных программ. Чтобы избежать обнаружения, он использует кодировку XOR и сжатие GZIP для передачи данных. Стратегии борьбы с этой угрозой включают отключение горячих клавиш Windows для предотвращения выполнения методов вставки и запуска, обучение пользователей для повышения осведомленности о такой тактике и активный мониторинг процессов, связанных с node.exe, что указывает на активность NodeInitRAT.

В случаях обнаружения NodeInitRAT критически важно остановить node.exe процессы и удалить связанные с ними постоянные файлы из системы пользователя. Специалистам по безопасности рекомендуется заблокировать сетевые коммуникации, связанные с RAT, в том числе заблокировать домены, связанные с его командной строкой, и внедрить соответствующие правила брандмауэра. Учитывая, что инфраструктура часто использует легальные сервисы, такие как Cloudflare, бдительность при мониторинге сетевого трафика на предмет необычных запросов необходима для раннего обнаружения NodeInitRAT и подобных угроз. Кроме того, стратегии обнаружения должны быть направлены на выявление случаев node.exe, которые пытаются создать ключи запуска реестра, поскольку такое поведение обычно указывает на скомпрометированную систему.

#ParsedReport #CompletenessLow
22-06-2025

Attackers Actively Exploiting Critical Vulnerability in Motors Theme

https://www.wordfence.com/blog/2025/06/attackers-actively-exploiting-critical-vulnerability-in-motors-theme/

Report completeness: Low

Victims:
Motors wordpress theme users

CVEs:
CVE-2025-4322 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1068, T1190

IOCs:
IP: 10

Soft:
WordPress, Mac OS, Linux, Ubuntu

Languages:
php

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость, связанная с повышением привилегий в теме WordPress Motors, позволяет злоумышленникам, не прошедшим проверку подлинности, изменять пароли пользователей, что потенциально может привести к полному контролю над учетной записью. Уязвимость затрагивает версии вплоть до 5.6.67, при этом попытки эксплойта обнаруживаются вскоре после раскрытия, что подчеркивает необходимость немедленных обновлений и мер безопасности.
-----

В теме WordPress Motors, которая была продана более чем 22 000 раз, была обнаружена значительная уязвимость, связанная с повышением привилегий. Эта уязвимость позволяет злоумышленникам, не прошедшим проверку подлинности, изменять пароли любого пользователя, в том числе с правами администратора, что позволяет полностью контролировать учетные записи и связанные с ними веб-сайты. Уязвимость затрагивает все версии темы Motors до версии 5.6.67 включительно, что связано с ненадлежащей проверкой личности пользователя перед обновлением пароля.

Первоначальное обнаружение этой уязвимости произошло 19 мая 2025 года, и почти сразу же количество попыток ее использования резко возросло, а выявленные случаи использования начались 20 мая 2025 года. Примечательно, что случаи массового использования были зафиксированы начиная с 7 июня 2025 года. Брандмауэр Wordfence отреагировал эффективно, сообщив о более чем 23 100 заблокированных попытках использования этой уязвимости.

Меры защиты были приняты незамедлительно: пользователи Wordfence Premium, Wordfence Care и Wordfence Response получили правила брандмауэра для снижения риска уже 6 мая 2025 года. Однако пользователям бесплатной версии Wordfence пришлось ждать обычной 30-дневной задержки для аналогичных мер защиты, которые были применены 5 июня 2025 года. Было замечено, что злоумышленники атаковали уязвимые веб-сайты в первую очередь после их раскрытия, о чем свидетельствуют заблокированные попытки, зафиксированные 7, 9 и 17 июня. Важно отметить, что характер правила брандмауэра веб-приложений (WAF) означал, что блокировка происходила только на сайтах, на которых была установлена уязвимая версия темы, что позволяет предположить, что многие из заблокированных вредоносных запросов могли бы привести к нарушениям работы сайта, если бы не была установлена защита. Это указывает на острую необходимость в оперативных обновлениях и бдительных мерах безопасности среди пользователей темы Motors, чтобы предотвратить захват учетных записей и потенциальную компрометацию веб-сайта.

#ParsedReport #CompletenessHigh
22-06-2025

Feeling Blue(Noroff): Inside a Sophisticated DPRK Web3 Intrusion

https://www.huntress.com/blog/inside-bluenoroff-web3-intrusion-analysis

Report completeness: High

Actors/Campaigns:
Bluenoroff

Threats:
Root_troy_v4
Injectwithdyld
Process_injection_technique
Xscreen
Cryptobot
Netchk_tool
Telegram2

Geo:
Dprk, North korean

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 12
Url: 5
Domain: 4
Hash: 9

Soft:
Telegram, Zoom, curl, sudo, macOS

Algorithms:
aes, rc4, base64

Functions:
SendData

Languages:
objective_c, swift, applescript

Platforms:
apple, arm, cross-platform

Links:
http://github.com/shirou/gopsutil/

#ParsedReport #ExtractedSchema

Classified images:
code: 33, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
11 июня 2025 года криптовалютный фонд стал жертвой атаки социальной инженерии, которая привела к загрузке вредоносного расширения Zoom. Используемый AppleScript "zoom_sdk_support.scpt" перенаправлялся на вредоносную полезную нагрузку, что позволяло использовать постоянный бэкдор "Telegram 2", который собирал данные хоста и выполнял команды. Атака, приписываемая северокорейской APT-подгруппе TA444, иллюстрирует растущий риск для систем macOS, особенно в таких дорогостоящих секторах, как криптовалюты.
-----

11 июня 2025 года Huntress сообщила об инциденте с безопасностью, связанном с вредоносным расширением Zoom, загруженным сотрудником криптовалютного фонда. Вторжение началось с атаки социальной инженерии через Telegram, когда злоумышленник манипулировал жертвой, заставляя ее присоединиться к поддельному собранию Zoom с участием фальшивых руководителей компании. Во время встречи жертву заставили загрузить AppleScript, помеченный как расширение Zoom, что в конечном итоге послужило первоначальным средством компрометации.

AppleScript, названный "zoom_sdk_support.scpt", якобы перенаправлял пользователя на законную страницу Zoom SDK, но был разработан для загрузки полезной нагрузки с вредоносного сайта. Эта полезная нагрузка была структурирована таким образом, чтобы отключить ведение журнала истории bash и проверить наличие Rosetta 2 в системе пользователя, чтобы облегчить выполнение двоичных файлов x86_64 на Apple Silicon. Последующие компоненты вредоносного ПО включали в себя основной бэкдор, называемый "Root Troy V4", и множество связанных с ним двоичных файлов, используемых для различных вредоносных действий, таких как кейлоггинг, скрытый сбор данных и кража криптовалюты.

Основное выявленное вредоносное ПО, "Telegram 2", действует как постоянный бэкдор, который устанавливает связь со своим сервером управления (C2). Он собирает информацию о зараженном хосте и периодически отправляет собранные данные обратно на сервер C2, что, как сообщается, является тактикой, применявшейся в предыдущих кампаниях BlueNoroff. Вредоносное ПО облегчает выполнение команд несколькими способами, включая удаленное выполнение AppleScripts и команд оболочки.

Кроме того, кейлоггер, написанный на Objective-C, используется для отслеживания нажатий клавиш и активности в буфере обмена, в то время как специализированный инфокрад, получивший название "КриптоБот", сосредоточен на сборе информации, связанной с криптовалютой, из браузеров, установленных на устройстве жертвы. Этот похититель проверяет наличие расширений криптовалютного кошелька и систематически извлекает конфиденциальные данные.

Атака иллюстрирует изощренный подход северокорейской APT—подгруппы TA444 (также известной как BlueNoroff), которая все чаще нацеливается на системы macOS, которые исторически считались менее уязвимыми, чем Windows. Уникальные методы, применяемые для борьбы с macOS, включают широкое использование AppleScript, развертывание сложной полезной нагрузки с помощью внедрения процессов и вредоносных скриптов, адаптированных для обработки и выполнения файлов macOS. Инцидент подчеркивает растущую угрозу для сред macOS, особенно для тех, кто работает в таких дорогостоящих секторах, как криптовалюта. Обучение сотрудников распознаванию тактик социальной инженерии имеет решающее значение для предотвращения подобных целенаправленных атак.

#ParsedReport #CompletenessHigh
22-06-2025

Androxgh0st Continues Exploitation: Operators Compromise a US University For Hosting C2 Logger

https://www.cloudsek.com/blog/androxgh0st-continues-exploitation-operators-compromise-a-us-university-for-hosting-c2-logger

Report completeness: High

Threats:
Androxgh0st
Spring4shell
Hex2bin
Sqlmap_tool

Victims:
University of california, san diego, Jamaican events aggregator platform, Usa basketball men's u19 national team, Academic institutions, Public domains

Industry:
Critical_infrastructure, Education, Iot

Geo:
California, Usa

CVEs:
CVE-2021-21881 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- lantronix premierwave 2050 firmware (8.9.0.0)

CVE-2022-22965 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware spring framework (<5.2.20, <5.3.18)

CVE-2019-17574 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- code-atlantic popup maker (<1.8.13)

CVE-2024-4577 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- php (<8.1.29, <8.2.20, <8.3.8)

CVE-2017-5638 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache struts (<2.3.32, <2.5.10.1)

CVE-2020-10650 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fasterxml jackson-databind (le2.9.10.4)

CVE-2020-9548 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fasterxml jackson-databind (<2.7.9.7, <2.8.11.6, <2.9.10.4)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1078, T1105, T1190, T1505.003

IOCs:
Domain: 42
IP: 1
File: 3
Hash: 4

Soft:
Apache Shiro, WordPress, Unix, Apache Struts, curl, Apache Struts2

Algorithms:
md5

Functions:
e, __destruct

Languages:
php, java

YARA: Found