#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Шпионская кампания SparkCat нацелена на криптовалютные кошельки, внедряя вредоносное ПО в приложения на iOS и Android. Она использует распознавание текста для извлечения изображений, содержащих конфиденциальные данные, особенно начальные фразы, и использует модифицированные библиотеки для обхода мер безопасности. В кампании используются официальные магазины приложений, что создает серьезные риски для пользовательских данных.
-----

В январе 2025 года была выявлена шпионская кампания SparkCat, нацеленная на криптовалютные кошельки путем внедрения вредоносного ПО в приложения из официальных каналов, таких как Google Play и App Store. Программа-шпион активируется при взаимодействии пользователя с экранами чата службы поддержки, запрашивая доступ к галерее устройства и используя оптическое распознавание символов (OCR) для фильтрации изображений, особенно тех, которые содержат начальные фразы криптокошелька. Вредоносное ПО поражает как iOS, так и Android.

В магазины приложений проникли новые версии, маскирующие вредоносные программы под популярные платформы для iOS и включающие версии Java и Kotlin для Android. С февраля 2024 года эти версии также используют распознавание текста для кражи целевых изображений. Были обнаружены модифицированные приложения TikTok для обеих платформ, использующие корпоративные профили настройки для обхода ограничений App Store и вызывающие ненормальные запросы на доступ к фотогалерее.

Архитектура шпионского ПО включает в себя двухэтапный процесс: проверку файла конфигурации для взаимодействия с сервером C2, а затем поиск и загрузку изображений. Вредоносное ПО использует связанные запросы GET и PUT для извлечения данных. Кроме того, в ходе кампании были обнаружены мошеннические страницы, предлагающие вредоносные приложения в формате PWA, повторяющие предыдущую тактику и нацеленные на контент, связанный с криптовалютой.

APK-приложения для Android используют распознавание текста с помощью набора ML Kit от Google для идентификации изображений и эксфильтрации. Кампания нацелена преимущественно на конфиденциальные данные в Юго-Восточной Азии и Китае, выявляя уязвимости в экосистеме распространения приложений, где официальные магазины могут распространять вредоносное ПО.

#ParsedReport #CompletenessMedium
24-06-2025

Hot bait in Taiwan Strait! Wangsai Group combines 0day and ClickOnce technology to conduct espionage activities

https://www.ctfiot.com/258275.html

Report completeness: Medium

Actors/Campaigns:
Wangsai (motivation: cyber_espionage)
Apt-q-14 (motivation: cyber_espionage)
Camouflaged_hunter (motivation: cyber_espionage)
Apt-q-15 (motivation: cyber_espionage)
Darkhotel (motivation: cyber_espionage)

Threats:
Process_injection_technique
Zipperdown_vuln

Victims:
Northeast asian intelligence agencies

Geo:
Asian, China, Taiwan

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1190, T1204.002, T1218.011, T1566.002, T1574.001, T1574.002

IOCs:
File: 10
Hash: 3
Domain: 1
Url: 1

Soft:
process explorer, Android, WeChat

Functions:
CreateObject

Win API:
ResumeThread, CreateRemoteThread, LoadLibraryW

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-Q-14, связанный с организацией DarkHotel, нацелен на пользователей в Китае с помощью фишинга с использованием технологии CilckOnce и уязвимости нулевого дня XSS в платформе электронной почты. Это приводит к запуску троянской программы csrss32.exe и последующим манипуляциям с процессами для повышения привилегий. Кроме того, группа использует уязвимости Android, такие как "ZipperDown", что облегчает перезапись важных файлов.
-----

Организация Wantshu, известная как APT-Q-14, является хакерской организацией, имеющей связи в Северо-Восточной Азии и с другими группами, такими как APT-Q-12 и APT-Q-15, которые входят в более широкую структуру организации DarkHotel. Исторически сложилось так, что эта группа использовала технологию CilckOnce для фишинговой деятельности, нацеленной конкретно на пользователей в Китае. Несмотря на ее использование, вероятность успеха попыток фишинга остается относительно низкой из-за требований к взаимодействию с пользователем.

Чтобы решить эту проблему, организация Wantshu использовала уязвимость нулевого дня XSS (межсайтовый скриптинг) в широко используемой платформе электронной почты, которая с тех пор была исправлена. Эта уязвимость XSS позволяет автоматически запускать скрипт CilckOnce, когда жертва получает фишинговое электронное письмо. После открытия электронное письмо выдается за уведомление об обновлении от Yahoo Current Affairs News, что повышает вероятность того, что жертва обратится к нему. Это фишинговое электронное письмо приводит к запуску вредоносного троянского файла с именем csrss32.exe.

Последующие операции включают в себя создание процесса под названием svchost.exe, в который вводится шеллкод. После выполнения второй этап шеллкода расшифровывается в памяти и действует как динамическая библиотека (DLL). Эта библиотека DLL при загрузке инициирует различные вредоносные действия, включая поиск процесса explorer.exe для повышения привилегий и последующего внедрения в процесс. Однако анализу препятствует отсутствие данных с серверов управления (C2) после начальной фазы выполнения.

В дополнение к тому, что APT-Q-14 ориентирован на пользователей на различных платформах Windows, он отражает большой интерес к разведывательным службам Северо-Восточной Азии. Организация также продемонстрировала глубокие знания нераскрытых внутренних интерфейсов отечественного программного обеспечения. Кроме того, они воспользовались уязвимостями в нескольких почтовых приложениях Android, многие из которых связаны с известной проблемой, называемой "ZipperDown". Эта уязвимость может привести к уязвимостям обхода путей, позволяющим злоумышленникам перезаписывать важные целевые файлы или файлы dex. В будущем организация планирует раскрыть сообществу разработчиков с открытым исходным кодом дополнительные технические подробности, касающиеся этих уязвимостей.

Коллеги с канала Tinyscope пилят сервис для детекта фишинговых ресурсов и подачи заявлений на их блокировку.
Движок у них уже есть, сейчас делают пользовательский интерфейс и механизм пользовательских детектов.

Буду следить за развитием :)

#ParsedReport #CompletenessMedium
25-06-2025

Microsoft Entra ID OAuth Phishing and Detections

https://www.elastic.co/security-labs/entra-id-oauth-phishing-detection

Report completeness: Medium

Actors/Campaigns:
Uta0352

Threats:
Roadtools_tool
Aitm_technique

Victims:
Ngos, Microsoft entra id users

Industry:
Ngo

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078.004, T1087.004, T1098.003, T1530, T1550.001, T1557.002, T1566.002

IOCs:
File: 11
Url: 1

Soft:
Azure AD, Outlook, Graph API, VSCode, macOS, Visual Studio Code, Microsoft Teams

Functions:
Graph, DATE_TRUNC, NOW

Languages:
python

Links:
https://github.com/dirkjanm/ROADtools
https://github.com/elastic/detection-rules/blob/main/rules/integrations/azure/initial\_access\_entra\_oauth\_phishing\_via\_vscode\_client.toml
https://github.com/elastic/detection-rules/blob/d41a83059c78129b4e1337dca10b190b862ca0d2/rules/integrations/azure/initial\_access\_entra\_graph\_single\_session\_from\_multiple\_addresses.toml
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние исследования указывают на рост числа фишинговых атак OAuth, нацеленных на Microsoft Entra ID, использующих законные рабочие процессы OAuth для сбора токенов безопасности с помощью специально созданных URL-адресов аутентификации. Хакер Uta0352 использует приложения Microsoft для повышения привилегий и извлечения данных с помощью таких инструментов, как ROADtools. Стратегии обнаружения, о которых говорится в отчете, включают мониторинг необычных шаблонов и телеметрии в журналах учетных записей Microsoft Entra ID для выявления и предотвращения потенциальных фишинговых атак.
-----

Фишинговые атаки OAuth нацелены на Microsoft Entra ID, ранее называвшуюся Azure AD. Хакер Uta0352 использует надежные приложения Microsoft для обхода мер безопасности. Злоумышленники используют законные рабочие процессы OAuth и инструмент ROADtools с открытым исходным кодом для создания фишинговых URL-адресов, которые собирают токены безопасности. Эти токены позволяют выполнять олицетворение, повышение привилегий и передачу данных из служб Microsoft через Microsoft Graph.

Цепочка атак включает в себя получение токенов доступа с помощью потока выдачи кода авторизации, манипулирование фишинговыми URL-адресами с такими параметрами, как идентификаторы клиентов, типы ответов, области действия и URI перенаправления. Методы обнаружения включают в себя выявление необычных входов с нескольких IP-адресов и определение конкретных потоков OAuth, связанных со службами Microsoft.

Предупреждения об аномальных схемах при попытках аутентификации, особенно таких, как повторное использование токена или несанкционированный доступ, имеют решающее значение для защиты. Злоумышленники используют токены с длительным сроком службы, такие как токены первичного обновления (PRT), для сохранения доступа без участия пользователя. Непрерывный мониторинг и ведение журнала с помощью Microsoft Entra ID необходимы для эффективного обнаружения и устранения этих новых тактик фишинга.

#ParsedReport #CompletenessLow
23-06-2025

A Deep Dive into a Modular Malware Family

https://www.wordfence.com/blog/2025/06/a-deep-dive-into-a-modular-malware-family/

Report completeness: Low

Victims:
Wordpress website administrators, Website users, Ecommerce platforms

Industry:
Financial

Geo:
American

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1021.001, T1027, T1056.003, T1059.007, T1070.004, T1071.001, T1087, T1098, T1140, have more...

IOCs:
File: 81
Domain: 14

Soft:
WordPress, Firefox, Chrome, Android, twitter, instagram, tiktok, Sogou, Telegram

Algorithms:
base64, zip

Functions:
y5, Date, yI, _0x1ed3d2, _0x3f6f61, E, insight____messages_content, get_current_user_id, wc_get_order_statuses, insight__get_order_status_woocommerce, have more...

Languages:
php, javascript

Platforms:
apple

Links:
https://github.com/javascript-obfuscator/javascript-obfuscator

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Семейство сложных вредоносных программ, маскирующихся под вредоносный плагин WordPress, специализируется на краже учетных данных и скимминге кредитных карт и нацелено на сайты с сентября 2023 года. В нем используются передовые методы обфускации, антианализа и динамической фильтрации данных, включая кодировку Base64, при сохранении постоянства с помощью localStorage.
-----

Команда Wordfence Threat Intelligence недавно проанализировала семейство сложных вредоносных программ, выявленных во время очистки сайта 16 мая 2025 года. Это вредоносное ПО, использующее общий код с различными функциональными возможностями, специализируется на краже учетных данных и скимминге кредитных карт. Известная версия уникально использовала серверную систему, размещенную на зараженных веб-сайтах, маскируясь под вредоносный плагин WordPress, который не был замечен в предыдущих вредоносных кампаниях. Исследование показало, что эта кампания продолжается с сентября 2023 года и нацелена на несколько организаций.

Эволюция вредоносного ПО была прослежена с помощью более чем 20 типовых вариантов, которые включали в себя сложные средства обфускации и антианализа, позволяющие избежать обнаружения, такие как обнаружение средствами разработчика, повторная привязка консоли и ограничение сферы их действия, чтобы избежать обнаружения администраторами сайта. Методы антианализа включали отключение ключевых сочетаний клавиш браузера и изменение поведения консоли, чтобы скрыть вредоносные действия.

Распространенные стратегии, используемые вредоносным ПО, включают манипулирование формами и утечку данных с помощью методов внедрения и наложения, нацеленных на информацию о платежах и выставлении счетов. Вредоносное ПО использует localStorage для обеспечения постоянства, сохраняя свое присутствие во время сеансов просмотра. Эксфильтрация осуществляется с использованием пользовательских методов кодирования, включая Base64 и уникальную процедуру кодирования для сокрытия конфиденциальных данных.

Дальнейший анализ выявил различные варианты, предназначенные для конкретных вредоносных действий, таких как перехват рекламы Google, кража учетных данных WordPress и содействие распространению вредоносных программ. Эти изменения демонстрируют гибкость семейства вредоносных программ и постоянное развитие. Ориентированные на рекламу версии вредоносного ПО использовали методы профилирования пользователей для оптимизации таргетинга, в то время как утечка данных в режиме реального времени происходила по секретным каналам, таким как Telegram, предоставляя злоумышленникам немедленный доступ к информации о жертвах.

Изначально вредоносная программа распространяла поддельный плагин WordPress с обманчивой структурой, который скрывал ее истинное назначение. Плагин, хотя и казался легитимным, содержал запутанный код, предназначенный для сбора данных из форм оформления заказа и манипулирования процессами оплаты, что еще больше расширяло возможности злоумышленников. Этот подход ознаменовал значительное распространение методов скимминга кредитных карт, при этом вредоносный код позволял выполнять его непосредственно со взломанного веб-сайта.

#ParsedReport #CompletenessMedium
24-06-2025

UAC-0001 (APT28) cyberattacks against government agencies using BEARDSHELL and COVENANT

https://cert.gov.ua/article/6284080

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Beardshell_tool
Covenant_tool
Slimagent_tool

Industry:
Government, Telco, Ics, Military

IOCs:
File: 15
Domain: 4
Hash: 24
Path: 6
Registry: 3
Url: 2

Algorithms:
chacha20-poly1305, aes

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте-апреле 2024 года произошел киберинцидент, связанный с использованием устройства Windows, которое использовалось в качестве сервера для размещения вредоносных программ BEARDSHELL и SLIMAGENT. BEARDSHELL использовала шифрование Chacha20-Poly1305, передавала данные через Icedrive и добилась стойкости с помощью изменений в реестре. Атака началась с вредоносного макроса в документе, указывающего на подключение хакера к APT28 и расширенный доступ к целевой организации.
-----

В марте-апреле 2024 года был выявлен киберинцидент, связанный с использованием технического устройства в информационно-коммуникационной системе центрального органа исполнительной власти. Команда CERT-UA обнаружила, что это устройство, работающее под управлением операционной системы Windows, выполняло роль сервера и размещало два вредоносных инструмента - BEARDSHELL и SLIMAGENT. Обе программы были написаны на C++ и использовали различные методы для реализации хакерских атак, включая загрузку и выполнение сценариев PowerShell, а также эксфильтрацию данных.

Бэкдор BEARDSHELL специально использовал алгоритм шифрования Chacha20-Poly1305 для своих операций. Он взаимодействовал с хакерами через API-интерфейс службы Icedrive, создавая уникальный каталог для каждой взломанной машины на основе хэша имени компьютера и GUID его аппаратного профиля. Среди обнаруженных критически важных компонентов был "Ctec.dll", который расшифровывал и выполнял шелл-код из файла изображения с именем "Windows.png", что в конечном итоге привело к запуску варианта вредоносного ПО Covenant "KMQSyck.dx4.exe". Предполагалось, что этот фреймворк облегчает загрузку другого исполняемого файла “%Localappdata%\PACKAGSES\PLAYSNDSRV.DLL”, предназначенного для чтения из WAV-файла ("Sample-03.WAV") и дальнейшего распространения бэкдора BEARDSHELL.

Устойчивость бэкдора BEARDSHELL была обеспечена путем создания записей реестра, в частности, раздела "HKEY_CURRENT_USER\Software\Classes\CLSID", который был разработан для запуска запланированной задачи в мультимедийной системе Windows. Эта операция свидетельствует о передовых методах обеспечения сохранности данных и подчеркивает усилия группы по обеспечению долгосрочного доступа к скомпрометированным системам.

Первоначальное нарушение было инициировано с помощью документа под названием "Act.doc", который содержал вредоносный макрос, отправленный через Signal. Анализ показал, что злоумышленник обладал подробными сведениями об организации-мишени до начала атаки, что подчеркивает изощренность задействованного хакера, предположительно связанного с группой APT28 (известной различными кибероперациями). Тщательное расследование и ответные меры, проведенные CERT-UA в сотрудничестве с военными подразделениями по кибербезопасности, привели к выявлению этих вредоносных инструментов и методов, хотя полный масштаб атаки и ее последствия остаются объектом постоянного изучения.

#ParsedReport #CompletenessMedium
24-06-2025

APT-C-06 (DarkHotel) uses BYOVD technology to analyze the latest attack activities

https://www.ctfiot.com/258410.html

Report completeness: Medium

Actors/Campaigns:
Darkhotel

Threats:
Byovd_technique
Zemana_tool

Victims:
Trade personnel

Geo:
North korea, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1068, T1204.002, T1562.001, T1566.001, T1620

IOCs:
File: 6
Hash: 2
Coin: 1

Soft:
WeChat, windows defender, Microsoft Defender

Algorithms:
md5, rc4

Win API:
MsiGetPropertyW, RtlDecompressBuffer

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-06 нацелился на торговый персонал, связанный с Северной Кореей, с помощью фишинговых электронных писем, содержащих пакеты вредоносных сертификатов. В ходе атаки использовались файлы на корейском языке, что привело к сбою в работе Microsoft Defender, а также использовалась технология BYOVD для повышения привилегий и прекращения работы конкурирующих вредоносных программ.
-----

В феврале 2025 года хакер APT-C-06 запустил кампанию с использованием вредоносных пакетов для установки сертификатов, отправленных по фишинговым электронным письмам. Эта операция напоминает их предыдущую атаку в начале 2024 года, в ходе которой основное внимание по-прежнему уделялось торговому персоналу, связанному с Северной Кореей, но число лиц, ставших мишенью, увеличилось. В ходе атаки использовались установочные пакеты на корейском языке, а вредоносная полезная нагрузка была доставлена в сжатом файле с надписью (2025).zip, что переводится как "электронный сертификат для обслуживания". Внутри этого архива находился файл с именем cert.msi, выполнение которого инициировало серию вредоносных действий, в конечном итоге позволивших полезной нагрузке находиться на компьютере жертвы.

После выполнения скомпрометированная среда запускает дальнейшие действия, включая запуск сценария PowerShell, который отображает вредоносное изображение, что еще больше вводит пользователя в заблуждение, заставляя поверить в законность установки. Методы атак претерпевают эволюцию, переходя от изощренных способов использования уязвимостей в тяжелых условиях к более рациональным и инновационным методам доставки полезной нагрузки. APT-C-06 адаптирует свою тактику для использования более простых механизмов, которые кажутся менее сложными, но остаются эффективными.

Структура недавней вредоносной программы включала в себя привычные процедуры инициализации, такие как расшифровка параметров конфигурации и последующее извлечение шеллкода из основной программы. Функциональность этого шеллкода включала загрузку переносимого исполняемого файла (PE) для выполнения задач "мягкого уничтожения" и применения мер защиты от отладки. Примечательно, что вредоносная программа отключает меры безопасности Microsoft Defender, изменяя его стандартные действия по обработке в зависимости от серьезности угрозы, что в конечном итоге нарушает возможности облачной защиты.

В ходе этой кампании были идентифицированы два конкретных системных драйвера с хэшами MD5 21e13f2cb269dfeae5e1d09887d47bb и f53fa44c7b591a2be105344790543369, которые связаны с технологией Zemana для прекращения работы конкурирующих вредоносных программ. Злоумышленник использовал методику BYOVD (Приведите свой собственный уязвимый драйвер), используя уязвимые драйверы для повышения привилегий и обхода протоколов безопасности. Выдав специальные коды управления вводом-выводом для дескрипторов устройств, связанных с этими драйверами, в сочетании с идентификатором процесса целевого программного обеспечения, злоумышленник смог успешно завершить эти процессы, продемонстрировав стратегическую и техническую эволюцию своего подхода к кибератакам.