#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Скрипт-дроппер на базе PowerShell, обнаруженный в ходе анализа вредоносных программ, отключает средства контроля безопасности, загружает SectopRAT и HiJack Loader, собирает информацию, такую как внешний IP-адрес жертвы, и удаляет следы своей деятельности, чтобы избежать обнаружения. Он повышает скрытность за счет создания исключений в защитнике Windows и работает с помощью загрузки сжатых файлов, сохраняя постоянство за счет проверки запланированных задач.
-----

В ходе рутинного анализа вредоносных программ был идентифицирован скрипт-дроппер на базе PowerShell, который поставляется из вредоносного домена управления (C2). Этот скрипт предназначен для манипулирования настройками безопасности путем отключения различных элементов управления безопасностью в системе. Он работает путем загрузки двух полезных программ: SectopRAT и HiJack Loader, которые используются для дальнейших вредоносных действий, включая вывоз данных. После выполнения своих основных функций скрипт гарантирует, что он удалит все следы своей деятельности, чтобы избежать обнаружения.

Чтобы еще больше повысить скрытность, скрипт dropper создает исключения в защитнике Windows для всего диска C и двух конкретных процессов, которые часто становятся объектами атак вредоносных программ. Эта тактика является частью более широкой стратегии, направленной на то, чтобы избежать обнаружения программным обеспечением безопасности. Вредоносная программа выполняет рекогносцировку, собирая важную информацию, такую как внешний IP-адрес и имя пользователя жертвы, а также проверяя наличие существующей запланированной задачи под названием "MSSecurity". Результаты этой рекогносцировки документируются в файле result.txt.

Операцию можно разбить на несколько этапов. На начальном этапе программа управляет обходом защиты, добавляя исключения в Защитник Windows. Доставка вредоносного ПО осуществляется путем загрузки сжатых файлов с пометками NC.zip и RD.zip. Для выполнения запускается скрипт S-D.exe, извлеченный из этих архивов. На этапах разведки и эксфильтрации программа-обработчик собирает внешний IP-адрес и имя пользователя жертвы и передает эту информацию обратно на сервер C2. Чтобы сохранить постоянство, она запрашивает у планировщика задач задачу с именем MSSecurity. Наконец, для очистки скрипт удаляет загруженные полезные файлы, результаты своей разведки и, в конечном счете, самого себя.

Этот сценарий PowerShell, по-видимому, функционирует как загрузчик 1-го этапа или средство обеспечения полезной нагрузки, закладывая основу для последующих атак путем развертывания извлеченных полезных данных. Сочетание тактики уклонения, сбора информации и последующей очистки подчеркивает сложность работы этого вредоносного ПО и текущие проблемы, связанные с противодействием таким хакерам.

#ParsedReport #CompletenessLow
22-06-2025

Analysis of a Malicious WordPress Plugin: The Covert Redirector

https://blog.sucuri.net/2025/06/analysis-of-a-malicious-wordpress-plugin-the-covert-redirector.html

Report completeness: Low

Victims:
Website owners

ChatGPT TTPs:
do not use without manual check
T1036, T1059.007, T1102, T1189, T1190, T1204.002, T1573.001

IOCs:
File: 1
Url: 2

Soft:
WordPress

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный плагин "wordpress-player.php" скомпрометировал 26 веб-сайтов, используя wp_footer для внедрения скрытых элементов видео, что позволило избежать обнаружения администраторами сайта. Он устанавливает WebSocket-соединение с сервером C2 для контроля в режиме реального времени и перенаправляет пользователей на вредоносные сайты, подвергая риску безопасность пользователей и доверие к сайту.
-----

Недавнее расследование неожиданных перенаправлений, с которыми сталкивались посетители веб-сайта, выявило вредоносный плагин, ответственный за проблему. Было обнаружено, что этот плагин под названием "wordpress-player.php" скомпрометировал по меньшей мере 26 различных веб-сайтов, вероятно, распространяясь через пиратские или иным образом скомпрометированные установки. Выдавая себя за законные компоненты WordPress с ложной атрибуцией “WordPress Core”, злоумышленник стремился избежать обнаружения администраторами сайта.

Взломанный плагин использует функцию wp_footer, внедряя свои элементы JavaScript и HTML в нижний колонтитул каждой страницы на зараженных сайтах. Важно отметить, что вредоносное ПО разработано таким образом, чтобы оно не запускалось для зарегистрированных пользователей, таких как администраторы сайта или редакторы. Он скрывает свой видеоплеер, используя специальные атрибуты стиля, чтобы он оставался невидимым и находился за пределами экрана, а также использует настройки автозапуска и отключения звука для бесшумного показа видео в фоновом режиме. Видео, полученное с подозрительного домена, служит в основном для создания мошеннических показов, а не для предоставления какого-либо значимого контента.

Ключевым элементом функциональности вредоносного ПО является компонент JavaScript, который устанавливает постоянное соединение WebSocket с удаленным сервером управления (C2). Это соединение позволяет злоумышленникам отправлять новые URL-адреса для перенаправления и управлять воспроизведением скрытого видео. Наличие этого канала C2 позволяет манипулировать поведением веб-сайта в режиме реального времени, что приводит к значительным рискам как для владельцев сайта, так и для его посетителей.

Основная проблема, связанная с этим вредоносным ПО, заключается в несанкционированном перенаправлении трафика, которое приводит посетителей на внешние, потенциально опасные веб-сайты. Это подрывает доверие пользователей и подрывает авторитет зараженного сайта. Кроме того, частые переадресации могут ухудшить рейтинг в поисковых системах, что может привести к занесению веб-сайта в черный список. Репутация сайта страдает, поскольку пользователи могут воспринимать его как скомпрометированный, что приводит к снижению вовлеченности и доверия к нему. Кроме того, перенаправленные пользователи могут стать объектами попыток фишинга, вредоносной рекламы, использования наборов эксплойтов или скачивания с компьютера, что представляет серьезную угрозу безопасности. В целом, вредоносное ПО не только нарушает техническую целостность веб-сайтов, но и представляет ощутимую угрозу безопасности пользователей.

#ParsedReport #CompletenessLow
22-06-2025

Lumma meets LolzTeam

https://intelinsights.substack.com/p/lumma-meets-lolzteam

Report completeness: Low

Threats:
Lumma_stealer
Traffer_technique

Industry:
E-commerce, Entertainment, Financial

Geo:
France, Germany, Italy, Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1056.001, T1071.001, T1078, T1555.003, T1566, T1583.001

IOCs:
File: 1

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Несмотря на скоординированные действия ФБР и Microsoft, инфокрад Lumma продолжает свою деятельность, включая продажу скомпрометированных данных на различных платформах. Его инфраструктура организована и доступна, включая специальную страницу продаж и каналы поддержки, что указывает на устойчивую угрозу в экосистеме киберпреступности.
-----

21 мая скоординированная операция с участием ФБР, подразделения Microsoft по борьбе с цифровыми преступлениями и различных международных партнеров была нацелена на инфраструктуру инфокрадов Lumma, в результате чего был успешно выведен из строя один из самых активных инфокрадов в экосистеме киберпреступности. После операции, в результате которой были захвачены тысячи доменов, ожидалось, что Lumma исчезнет. Однако, вопреки этому мнению, данные свидетельствуют о продолжающейся деятельности и жизнеспособности Lumma.

Несмотря на удаление, разработчики Lumma заявили о решимости продолжать свою работу. Вредоносное ПО остается функциональным, о чем свидетельствует продолжающаяся активность бота Lumma Logs Market, который продолжает регистрировать время заражения после завершения операции. Судя по журналам, Lumma - это не просто устаревший штамм, а активно разрабатываемый инфокрад. Это подтверждается самими журналами вредоносных программ, в которых указывается конкретная версия инфокрада, используемая при заражении.

Инфраструктура Lumma infostealer организована и доступна, включая специальную страницу для продажи и получения информации, включая спецификации вредоносного ПО, такие как тип сборки, язык программирования и размер. Эта информация легко доступна на странице, не требующей регистрации пользователя, что указывает на низкий барьер для входа потенциальных покупателей. Журналы с подробным описанием скомпрометированных данных — от паролей до файлов cookie — активно продаются, и покупатели могут фильтровать журналы по различным критериям, включая типы учетных данных и географическую направленность.

Существуют каналы поддержки, помогающие пользователям совершать покупки и пополнять счета, что еще раз демонстрирует хорошо зарекомендовавшую себя систему продаж. Кроме того, появился резервный канал под названием “Lumma”, который демонстрирует адаптивность в ответ на давление регулирующих органов на их основные операции.

Важно отметить, что анализ журналов вредоносных программ выявляет ссылки на внешних участников и торговые площадки, включая Lolzteam Marketplace (LZT), известный русскоязычный форум киберпреступников. Этот форум способствует различным видам киберпреступной деятельности, включая распространение вредоносных программ через взломанные аккаунты в социальных сетях и торговлю украденными данными. Деятельность на LZT напрямую связана с оперативными потребностями инфокрадов, расширяя их возможности по монетизации скомпрометированных учетных данных.

Другой известный Telegram-канал, получивший название Russia 34, служит торговой площадкой для регистрации, ориентированной на верифицированные аккаунты, полученные в результате глобальных операций infostealer. Этот канал свидетельствует об обширном и взаимосвязанном характере современных операций по борьбе с киберпреступностью, иллюстрируя, как созданные вредоносные сети поддерживают оперативную устойчивость и избыточность, зачастую более эффективно, чем традиционные бизнес-структуры. В целом, текущая деятельность, связанная с Lumma, свидетельствует о серьезной и адаптируемой угрозе, подчеркивая постоянные проблемы, создаваемые инфокрадами.

#ParsedReport #CompletenessMedium
23-06-2025

SparkKitty, SparkCats little brother: A new Trojan spy found in the App Store and Google Play

https://securelist.com/sparkkitty-ios-android-malware/116793/

Report completeness: Medium

Threats:
Sparkkitty
Sparkcat

Victims:
Individual users

Industry:
Entertainment

Geo:
Chinese, China, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1055.002, T1056.001, T1071.001, T1119, T1204.002, T1222.001, T1406, T1407, T1409, have more...

IOCs:
File: 6
Url: 20
IP: 5
Domain: 2
Hash: 54
Coin: 1

Soft:
Google Play, Android, TikTok, OpenSSL

Algorithms:
deflate, aes-256, gzip, md5, base64

Functions:
readByteArray

Languages:
kotlin, objective_c, java

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Шпионская кампания SparkCat нацелена на криптовалютные кошельки, внедряя вредоносное ПО в приложения на iOS и Android. Она использует распознавание текста для извлечения изображений, содержащих конфиденциальные данные, особенно начальные фразы, и использует модифицированные библиотеки для обхода мер безопасности. В кампании используются официальные магазины приложений, что создает серьезные риски для пользовательских данных.
-----

В январе 2025 года была выявлена шпионская кампания SparkCat, нацеленная на криптовалютные кошельки путем внедрения вредоносного ПО в приложения из официальных каналов, таких как Google Play и App Store. Программа-шпион активируется при взаимодействии пользователя с экранами чата службы поддержки, запрашивая доступ к галерее устройства и используя оптическое распознавание символов (OCR) для фильтрации изображений, особенно тех, которые содержат начальные фразы криптокошелька. Вредоносное ПО поражает как iOS, так и Android.

В магазины приложений проникли новые версии, маскирующие вредоносные программы под популярные платформы для iOS и включающие версии Java и Kotlin для Android. С февраля 2024 года эти версии также используют распознавание текста для кражи целевых изображений. Были обнаружены модифицированные приложения TikTok для обеих платформ, использующие корпоративные профили настройки для обхода ограничений App Store и вызывающие ненормальные запросы на доступ к фотогалерее.

Архитектура шпионского ПО включает в себя двухэтапный процесс: проверку файла конфигурации для взаимодействия с сервером C2, а затем поиск и загрузку изображений. Вредоносное ПО использует связанные запросы GET и PUT для извлечения данных. Кроме того, в ходе кампании были обнаружены мошеннические страницы, предлагающие вредоносные приложения в формате PWA, повторяющие предыдущую тактику и нацеленные на контент, связанный с криптовалютой.

APK-приложения для Android используют распознавание текста с помощью набора ML Kit от Google для идентификации изображений и эксфильтрации. Кампания нацелена преимущественно на конфиденциальные данные в Юго-Восточной Азии и Китае, выявляя уязвимости в экосистеме распространения приложений, где официальные магазины могут распространять вредоносное ПО.

#ParsedReport #CompletenessMedium
24-06-2025

Hot bait in Taiwan Strait! Wangsai Group combines 0day and ClickOnce technology to conduct espionage activities

https://www.ctfiot.com/258275.html

Report completeness: Medium

Actors/Campaigns:
Wangsai (motivation: cyber_espionage)
Apt-q-14 (motivation: cyber_espionage)
Camouflaged_hunter (motivation: cyber_espionage)
Apt-q-15 (motivation: cyber_espionage)
Darkhotel (motivation: cyber_espionage)

Threats:
Process_injection_technique
Zipperdown_vuln

Victims:
Northeast asian intelligence agencies

Geo:
Asian, China, Taiwan

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1190, T1204.002, T1218.011, T1566.002, T1574.001, T1574.002

IOCs:
File: 10
Hash: 3
Domain: 1
Url: 1

Soft:
process explorer, Android, WeChat

Functions:
CreateObject

Win API:
ResumeThread, CreateRemoteThread, LoadLibraryW

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-Q-14, связанный с организацией DarkHotel, нацелен на пользователей в Китае с помощью фишинга с использованием технологии CilckOnce и уязвимости нулевого дня XSS в платформе электронной почты. Это приводит к запуску троянской программы csrss32.exe и последующим манипуляциям с процессами для повышения привилегий. Кроме того, группа использует уязвимости Android, такие как "ZipperDown", что облегчает перезапись важных файлов.
-----

Организация Wantshu, известная как APT-Q-14, является хакерской организацией, имеющей связи в Северо-Восточной Азии и с другими группами, такими как APT-Q-12 и APT-Q-15, которые входят в более широкую структуру организации DarkHotel. Исторически сложилось так, что эта группа использовала технологию CilckOnce для фишинговой деятельности, нацеленной конкретно на пользователей в Китае. Несмотря на ее использование, вероятность успеха попыток фишинга остается относительно низкой из-за требований к взаимодействию с пользователем.

Чтобы решить эту проблему, организация Wantshu использовала уязвимость нулевого дня XSS (межсайтовый скриптинг) в широко используемой платформе электронной почты, которая с тех пор была исправлена. Эта уязвимость XSS позволяет автоматически запускать скрипт CilckOnce, когда жертва получает фишинговое электронное письмо. После открытия электронное письмо выдается за уведомление об обновлении от Yahoo Current Affairs News, что повышает вероятность того, что жертва обратится к нему. Это фишинговое электронное письмо приводит к запуску вредоносного троянского файла с именем csrss32.exe.

Последующие операции включают в себя создание процесса под названием svchost.exe, в который вводится шеллкод. После выполнения второй этап шеллкода расшифровывается в памяти и действует как динамическая библиотека (DLL). Эта библиотека DLL при загрузке инициирует различные вредоносные действия, включая поиск процесса explorer.exe для повышения привилегий и последующего внедрения в процесс. Однако анализу препятствует отсутствие данных с серверов управления (C2) после начальной фазы выполнения.

В дополнение к тому, что APT-Q-14 ориентирован на пользователей на различных платформах Windows, он отражает большой интерес к разведывательным службам Северо-Восточной Азии. Организация также продемонстрировала глубокие знания нераскрытых внутренних интерфейсов отечественного программного обеспечения. Кроме того, они воспользовались уязвимостями в нескольких почтовых приложениях Android, многие из которых связаны с известной проблемой, называемой "ZipperDown". Эта уязвимость может привести к уязвимостям обхода путей, позволяющим злоумышленникам перезаписывать важные целевые файлы или файлы dex. В будущем организация планирует раскрыть сообществу разработчиков с открытым исходным кодом дополнительные технические подробности, касающиеся этих уязвимостей.

Коллеги с канала Tinyscope пилят сервис для детекта фишинговых ресурсов и подачи заявлений на их блокировку.
Движок у них уже есть, сейчас делают пользовательский интерфейс и механизм пользовательских детектов.

Буду следить за развитием :)

#ParsedReport #CompletenessMedium
25-06-2025

Microsoft Entra ID OAuth Phishing and Detections

https://www.elastic.co/security-labs/entra-id-oauth-phishing-detection

Report completeness: Medium

Actors/Campaigns:
Uta0352

Threats:
Roadtools_tool
Aitm_technique

Victims:
Ngos, Microsoft entra id users

Industry:
Ngo

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078.004, T1087.004, T1098.003, T1530, T1550.001, T1557.002, T1566.002

IOCs:
File: 11
Url: 1

Soft:
Azure AD, Outlook, Graph API, VSCode, macOS, Visual Studio Code, Microsoft Teams

Functions:
Graph, DATE_TRUNC, NOW

Languages:
python

Links:
https://github.com/dirkjanm/ROADtools
https://github.com/elastic/detection-rules/blob/main/rules/integrations/azure/initial\_access\_entra\_oauth\_phishing\_via\_vscode\_client.toml
https://github.com/elastic/detection-rules/blob/d41a83059c78129b4e1337dca10b190b862ca0d2/rules/integrations/azure/initial\_access\_entra\_graph\_single\_session\_from\_multiple\_addresses.toml
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние исследования указывают на рост числа фишинговых атак OAuth, нацеленных на Microsoft Entra ID, использующих законные рабочие процессы OAuth для сбора токенов безопасности с помощью специально созданных URL-адресов аутентификации. Хакер Uta0352 использует приложения Microsoft для повышения привилегий и извлечения данных с помощью таких инструментов, как ROADtools. Стратегии обнаружения, о которых говорится в отчете, включают мониторинг необычных шаблонов и телеметрии в журналах учетных записей Microsoft Entra ID для выявления и предотвращения потенциальных фишинговых атак.
-----

Фишинговые атаки OAuth нацелены на Microsoft Entra ID, ранее называвшуюся Azure AD. Хакер Uta0352 использует надежные приложения Microsoft для обхода мер безопасности. Злоумышленники используют законные рабочие процессы OAuth и инструмент ROADtools с открытым исходным кодом для создания фишинговых URL-адресов, которые собирают токены безопасности. Эти токены позволяют выполнять олицетворение, повышение привилегий и передачу данных из служб Microsoft через Microsoft Graph.

Цепочка атак включает в себя получение токенов доступа с помощью потока выдачи кода авторизации, манипулирование фишинговыми URL-адресами с такими параметрами, как идентификаторы клиентов, типы ответов, области действия и URI перенаправления. Методы обнаружения включают в себя выявление необычных входов с нескольких IP-адресов и определение конкретных потоков OAuth, связанных со службами Microsoft.

Предупреждения об аномальных схемах при попытках аутентификации, особенно таких, как повторное использование токена или несанкционированный доступ, имеют решающее значение для защиты. Злоумышленники используют токены с длительным сроком службы, такие как токены первичного обновления (PRT), для сохранения доступа без участия пользователя. Непрерывный мониторинг и ведение журнала с помощью Microsoft Entra ID необходимы для эффективного обнаружения и устранения этих новых тактик фишинга.

#ParsedReport #CompletenessLow
23-06-2025

A Deep Dive into a Modular Malware Family

https://www.wordfence.com/blog/2025/06/a-deep-dive-into-a-modular-malware-family/

Report completeness: Low

Victims:
Wordpress website administrators, Website users, Ecommerce platforms

Industry:
Financial

Geo:
American

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1021.001, T1027, T1056.003, T1059.007, T1070.004, T1071.001, T1087, T1098, T1140, have more...

IOCs:
File: 81
Domain: 14

Soft:
WordPress, Firefox, Chrome, Android, twitter, instagram, tiktok, Sogou, Telegram

Algorithms:
base64, zip

Functions:
y5, Date, yI, _0x1ed3d2, _0x3f6f61, E, insight____messages_content, get_current_user_id, wc_get_order_statuses, insight__get_order_status_woocommerce, have more...

Languages:
php, javascript

Platforms:
apple

Links:
https://github.com/javascript-obfuscator/javascript-obfuscator