Коллеги с канала Tinyscope пилят сервис для детекта фишинговых ресурсов и подачи заявлений на их блокировку.
Движок у них уже есть, сейчас делают пользовательский интерфейс и механизм пользовательских детектов.

Буду следить за развитием :)

#ParsedReport #CompletenessMedium
25-06-2025

Microsoft Entra ID OAuth Phishing and Detections

https://www.elastic.co/security-labs/entra-id-oauth-phishing-detection

Report completeness: Medium

Actors/Campaigns:
Uta0352

Threats:
Roadtools_tool
Aitm_technique

Victims:
Ngos, Microsoft entra id users

Industry:
Ngo

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078.004, T1087.004, T1098.003, T1530, T1550.001, T1557.002, T1566.002

IOCs:
File: 11
Url: 1

Soft:
Azure AD, Outlook, Graph API, VSCode, macOS, Visual Studio Code, Microsoft Teams

Functions:
Graph, DATE_TRUNC, NOW

Languages:
python

Links:
https://github.com/dirkjanm/ROADtools
https://github.com/elastic/detection-rules/blob/main/rules/integrations/azure/initial\_access\_entra\_oauth\_phishing\_via\_vscode\_client.toml
https://github.com/elastic/detection-rules/blob/d41a83059c78129b4e1337dca10b190b862ca0d2/rules/integrations/azure/initial\_access\_entra\_graph\_single\_session\_from\_multiple\_addresses.toml
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние исследования указывают на рост числа фишинговых атак OAuth, нацеленных на Microsoft Entra ID, использующих законные рабочие процессы OAuth для сбора токенов безопасности с помощью специально созданных URL-адресов аутентификации. Хакер Uta0352 использует приложения Microsoft для повышения привилегий и извлечения данных с помощью таких инструментов, как ROADtools. Стратегии обнаружения, о которых говорится в отчете, включают мониторинг необычных шаблонов и телеметрии в журналах учетных записей Microsoft Entra ID для выявления и предотвращения потенциальных фишинговых атак.
-----

Фишинговые атаки OAuth нацелены на Microsoft Entra ID, ранее называвшуюся Azure AD. Хакер Uta0352 использует надежные приложения Microsoft для обхода мер безопасности. Злоумышленники используют законные рабочие процессы OAuth и инструмент ROADtools с открытым исходным кодом для создания фишинговых URL-адресов, которые собирают токены безопасности. Эти токены позволяют выполнять олицетворение, повышение привилегий и передачу данных из служб Microsoft через Microsoft Graph.

Цепочка атак включает в себя получение токенов доступа с помощью потока выдачи кода авторизации, манипулирование фишинговыми URL-адресами с такими параметрами, как идентификаторы клиентов, типы ответов, области действия и URI перенаправления. Методы обнаружения включают в себя выявление необычных входов с нескольких IP-адресов и определение конкретных потоков OAuth, связанных со службами Microsoft.

Предупреждения об аномальных схемах при попытках аутентификации, особенно таких, как повторное использование токена или несанкционированный доступ, имеют решающее значение для защиты. Злоумышленники используют токены с длительным сроком службы, такие как токены первичного обновления (PRT), для сохранения доступа без участия пользователя. Непрерывный мониторинг и ведение журнала с помощью Microsoft Entra ID необходимы для эффективного обнаружения и устранения этих новых тактик фишинга.

#ParsedReport #CompletenessLow
23-06-2025

A Deep Dive into a Modular Malware Family

https://www.wordfence.com/blog/2025/06/a-deep-dive-into-a-modular-malware-family/

Report completeness: Low

Victims:
Wordpress website administrators, Website users, Ecommerce platforms

Industry:
Financial

Geo:
American

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1021.001, T1027, T1056.003, T1059.007, T1070.004, T1071.001, T1087, T1098, T1140, have more...

IOCs:
File: 81
Domain: 14

Soft:
WordPress, Firefox, Chrome, Android, twitter, instagram, tiktok, Sogou, Telegram

Algorithms:
base64, zip

Functions:
y5, Date, yI, _0x1ed3d2, _0x3f6f61, E, insight____messages_content, get_current_user_id, wc_get_order_statuses, insight__get_order_status_woocommerce, have more...

Languages:
php, javascript

Platforms:
apple

Links:
https://github.com/javascript-obfuscator/javascript-obfuscator

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Семейство сложных вредоносных программ, маскирующихся под вредоносный плагин WordPress, специализируется на краже учетных данных и скимминге кредитных карт и нацелено на сайты с сентября 2023 года. В нем используются передовые методы обфускации, антианализа и динамической фильтрации данных, включая кодировку Base64, при сохранении постоянства с помощью localStorage.
-----

Команда Wordfence Threat Intelligence недавно проанализировала семейство сложных вредоносных программ, выявленных во время очистки сайта 16 мая 2025 года. Это вредоносное ПО, использующее общий код с различными функциональными возможностями, специализируется на краже учетных данных и скимминге кредитных карт. Известная версия уникально использовала серверную систему, размещенную на зараженных веб-сайтах, маскируясь под вредоносный плагин WordPress, который не был замечен в предыдущих вредоносных кампаниях. Исследование показало, что эта кампания продолжается с сентября 2023 года и нацелена на несколько организаций.

Эволюция вредоносного ПО была прослежена с помощью более чем 20 типовых вариантов, которые включали в себя сложные средства обфускации и антианализа, позволяющие избежать обнаружения, такие как обнаружение средствами разработчика, повторная привязка консоли и ограничение сферы их действия, чтобы избежать обнаружения администраторами сайта. Методы антианализа включали отключение ключевых сочетаний клавиш браузера и изменение поведения консоли, чтобы скрыть вредоносные действия.

Распространенные стратегии, используемые вредоносным ПО, включают манипулирование формами и утечку данных с помощью методов внедрения и наложения, нацеленных на информацию о платежах и выставлении счетов. Вредоносное ПО использует localStorage для обеспечения постоянства, сохраняя свое присутствие во время сеансов просмотра. Эксфильтрация осуществляется с использованием пользовательских методов кодирования, включая Base64 и уникальную процедуру кодирования для сокрытия конфиденциальных данных.

Дальнейший анализ выявил различные варианты, предназначенные для конкретных вредоносных действий, таких как перехват рекламы Google, кража учетных данных WordPress и содействие распространению вредоносных программ. Эти изменения демонстрируют гибкость семейства вредоносных программ и постоянное развитие. Ориентированные на рекламу версии вредоносного ПО использовали методы профилирования пользователей для оптимизации таргетинга, в то время как утечка данных в режиме реального времени происходила по секретным каналам, таким как Telegram, предоставляя злоумышленникам немедленный доступ к информации о жертвах.

Изначально вредоносная программа распространяла поддельный плагин WordPress с обманчивой структурой, который скрывал ее истинное назначение. Плагин, хотя и казался легитимным, содержал запутанный код, предназначенный для сбора данных из форм оформления заказа и манипулирования процессами оплаты, что еще больше расширяло возможности злоумышленников. Этот подход ознаменовал значительное распространение методов скимминга кредитных карт, при этом вредоносный код позволял выполнять его непосредственно со взломанного веб-сайта.

#ParsedReport #CompletenessMedium
24-06-2025

UAC-0001 (APT28) cyberattacks against government agencies using BEARDSHELL and COVENANT

https://cert.gov.ua/article/6284080

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Beardshell_tool
Covenant_tool
Slimagent_tool

Industry:
Government, Telco, Ics, Military

IOCs:
File: 15
Domain: 4
Hash: 24
Path: 6
Registry: 3
Url: 2

Algorithms:
chacha20-poly1305, aes

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте-апреле 2024 года произошел киберинцидент, связанный с использованием устройства Windows, которое использовалось в качестве сервера для размещения вредоносных программ BEARDSHELL и SLIMAGENT. BEARDSHELL использовала шифрование Chacha20-Poly1305, передавала данные через Icedrive и добилась стойкости с помощью изменений в реестре. Атака началась с вредоносного макроса в документе, указывающего на подключение хакера к APT28 и расширенный доступ к целевой организации.
-----

В марте-апреле 2024 года был выявлен киберинцидент, связанный с использованием технического устройства в информационно-коммуникационной системе центрального органа исполнительной власти. Команда CERT-UA обнаружила, что это устройство, работающее под управлением операционной системы Windows, выполняло роль сервера и размещало два вредоносных инструмента - BEARDSHELL и SLIMAGENT. Обе программы были написаны на C++ и использовали различные методы для реализации хакерских атак, включая загрузку и выполнение сценариев PowerShell, а также эксфильтрацию данных.

Бэкдор BEARDSHELL специально использовал алгоритм шифрования Chacha20-Poly1305 для своих операций. Он взаимодействовал с хакерами через API-интерфейс службы Icedrive, создавая уникальный каталог для каждой взломанной машины на основе хэша имени компьютера и GUID его аппаратного профиля. Среди обнаруженных критически важных компонентов был "Ctec.dll", который расшифровывал и выполнял шелл-код из файла изображения с именем "Windows.png", что в конечном итоге привело к запуску варианта вредоносного ПО Covenant "KMQSyck.dx4.exe". Предполагалось, что этот фреймворк облегчает загрузку другого исполняемого файла “%Localappdata%\PACKAGSES\PLAYSNDSRV.DLL”, предназначенного для чтения из WAV-файла ("Sample-03.WAV") и дальнейшего распространения бэкдора BEARDSHELL.

Устойчивость бэкдора BEARDSHELL была обеспечена путем создания записей реестра, в частности, раздела "HKEY_CURRENT_USER\Software\Classes\CLSID", который был разработан для запуска запланированной задачи в мультимедийной системе Windows. Эта операция свидетельствует о передовых методах обеспечения сохранности данных и подчеркивает усилия группы по обеспечению долгосрочного доступа к скомпрометированным системам.

Первоначальное нарушение было инициировано с помощью документа под названием "Act.doc", который содержал вредоносный макрос, отправленный через Signal. Анализ показал, что злоумышленник обладал подробными сведениями об организации-мишени до начала атаки, что подчеркивает изощренность задействованного хакера, предположительно связанного с группой APT28 (известной различными кибероперациями). Тщательное расследование и ответные меры, проведенные CERT-UA в сотрудничестве с военными подразделениями по кибербезопасности, привели к выявлению этих вредоносных инструментов и методов, хотя полный масштаб атаки и ее последствия остаются объектом постоянного изучения.

#ParsedReport #CompletenessMedium
24-06-2025

APT-C-06 (DarkHotel) uses BYOVD technology to analyze the latest attack activities

https://www.ctfiot.com/258410.html

Report completeness: Medium

Actors/Campaigns:
Darkhotel

Threats:
Byovd_technique
Zemana_tool

Victims:
Trade personnel

Geo:
North korea, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1068, T1204.002, T1562.001, T1566.001, T1620

IOCs:
File: 6
Hash: 2
Coin: 1

Soft:
WeChat, windows defender, Microsoft Defender

Algorithms:
md5, rc4

Win API:
MsiGetPropertyW, RtlDecompressBuffer

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-06 нацелился на торговый персонал, связанный с Северной Кореей, с помощью фишинговых электронных писем, содержащих пакеты вредоносных сертификатов. В ходе атаки использовались файлы на корейском языке, что привело к сбою в работе Microsoft Defender, а также использовалась технология BYOVD для повышения привилегий и прекращения работы конкурирующих вредоносных программ.
-----

В феврале 2025 года хакер APT-C-06 запустил кампанию с использованием вредоносных пакетов для установки сертификатов, отправленных по фишинговым электронным письмам. Эта операция напоминает их предыдущую атаку в начале 2024 года, в ходе которой основное внимание по-прежнему уделялось торговому персоналу, связанному с Северной Кореей, но число лиц, ставших мишенью, увеличилось. В ходе атаки использовались установочные пакеты на корейском языке, а вредоносная полезная нагрузка была доставлена в сжатом файле с надписью (2025).zip, что переводится как "электронный сертификат для обслуживания". Внутри этого архива находился файл с именем cert.msi, выполнение которого инициировало серию вредоносных действий, в конечном итоге позволивших полезной нагрузке находиться на компьютере жертвы.

После выполнения скомпрометированная среда запускает дальнейшие действия, включая запуск сценария PowerShell, который отображает вредоносное изображение, что еще больше вводит пользователя в заблуждение, заставляя поверить в законность установки. Методы атак претерпевают эволюцию, переходя от изощренных способов использования уязвимостей в тяжелых условиях к более рациональным и инновационным методам доставки полезной нагрузки. APT-C-06 адаптирует свою тактику для использования более простых механизмов, которые кажутся менее сложными, но остаются эффективными.

Структура недавней вредоносной программы включала в себя привычные процедуры инициализации, такие как расшифровка параметров конфигурации и последующее извлечение шеллкода из основной программы. Функциональность этого шеллкода включала загрузку переносимого исполняемого файла (PE) для выполнения задач "мягкого уничтожения" и применения мер защиты от отладки. Примечательно, что вредоносная программа отключает меры безопасности Microsoft Defender, изменяя его стандартные действия по обработке в зависимости от серьезности угрозы, что в конечном итоге нарушает возможности облачной защиты.

В ходе этой кампании были идентифицированы два конкретных системных драйвера с хэшами MD5 21e13f2cb269dfeae5e1d09887d47bb и f53fa44c7b591a2be105344790543369, которые связаны с технологией Zemana для прекращения работы конкурирующих вредоносных программ. Злоумышленник использовал методику BYOVD (Приведите свой собственный уязвимый драйвер), используя уязвимые драйверы для повышения привилегий и обхода протоколов безопасности. Выдав специальные коды управления вводом-выводом для дескрипторов устройств, связанных с этими драйверами, в сочетании с идентификатором процесса целевого программного обеспечения, злоумышленник смог успешно завершить эти процессы, продемонстрировав стратегическую и техническую эволюцию своего подхода к кибератакам.

#ParsedReport #CompletenessLow
25-06-2025

Top 3 Cyber Attacks in June 2025: GitHub Abuse, Control Flow Flattening, and More

https://any.run/cybersecurity-blog/cyber-attacks-june-2025/

Report completeness: Low

Threats:
Braodo
Remcos_rat
Netsupportmanager_rat
Pyobfuscate_tool
Lolbin_technique

Industry:
Retail, Telco, Healthcare, Financial

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.001, T1059.003, T1059.007, T1070.004, T1071.003, T1105, T1140, T1218, have more...

IOCs:
File: 4

Soft:
Linux, Android

Algorithms:
base64, zip

Win Services:
WebClient

Languages:
visual_basic, python, powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2025 года были совершены изощренные кибератаки с использованием запутанных скриптов и законных сервисов для доставки вредоносных программ. Кампания Braodo stealer размещает полезную информацию на GitHub, избегая обнаружения с помощью запутанных файлов BAT, выполняющих команды PowerShell, в то время как для доставки вредоносных программ Remcos используется сглаживание потока управления. Сложность обнаружения возрастает по мере того, как участники используют многоэтапные скрипты и LOLBins, что требует расширенных инструментов анализа для идентификации угроз.
-----

Серия изощренных кибератак в июне 2025 года продемонстрировала растущее использование запутанных скриптов и законных сервисов для доставки вредоносных программ. Примечательно, что кампания Braodo stealer использует общедоступные репозитории на GitHub для размещения своих полезных данных, в первую очередь для утечки данных, пытаясь избежать обнаружения. В кампании используются запутанные файлы BAT, которые содержат вводящие в заблуждение комментарии, затрудняющие анализ. Первый файл BAT выполняет скрытую команду PowerShell для загрузки второго файла BAT с GitHub, маскирующегося под изображение в формате .PNG, что приводит к дальнейшим вредоносным действиям, включая поиск дополнительных полезных данных и применение TLS 1.2. Полезная нагрузка Braodo, извлеченная из ZIP-файла, работает с использованием запутанного скрипта Python и содержит строки полезной нагрузки в кодировке Base64. Анализу такого поведения способствуют такие инструменты, как ANY.RUN Script Tracer и Threat Intelligence Lookup, которые позволяют аналитикам находить последние образцы и анализировать эксплуатационные характеристики Braodo.

Параллельно с этим другая угроза связана с JavaScript, который использует обфускацию, сглаживающую поток управления, для доставки вредоносного ПО Remcos. В этом методе используются самонаводящиеся функции и сложные циклы, которые затрудняют поиск строк, что затрудняет обнаружение для статических анализаторов. Влияние PowerShell на эти атаки усиливается, что подтверждается кампанией, в которой используется запутанный BAT-файл для доставки троянской программы удаленного доступа NetSupport (RAT). Эта атака использует запутанный сценарий для запуска PowerShell, который впоследствии загружает и выполняет компоненты для клиента NetSupport, обеспечивая несанкционированный контроль над компьютерами жертвы. Возможность идентифицировать такое запутанное поведение скрипта имеет решающее значение для анализа угроз с помощью инструментов, которые позволяют вести журнал выполнения скрипта без ручной деобфускации.

Поскольку злоумышленники все чаще используют многоэтапные скрипты и автономные двоичные файлы (LOLBins), традиционные методы обнаружения могут не учитывать важные признаки компрометации. Аналитический поиск угроз, интегрированный в такие платформы, как ANY.RUN, жизненно важен для расширения охвата обнаружения и ускорения расследования угроз. Быстро сопоставляя подозрительное поведение с соответствующими образцами вредоносных программ и кампаниями, специалисты по безопасности могут лучше понимать возникающие угрозы и тактику, применяемую киберпреступниками. Этот меняющийся ландшафт подчеркивает необходимость в передовых инструментах анализа, способных ориентироваться в сложностях современных методов распространения вредоносных программ.

#ParsedReport #CompletenessHigh
24-06-2025

Black Hat SEO Poisoning Search Engine Results For AI to Distribute Malware

https://www.zscaler.com/blogs/security-research/black-hat-seo-poisoning-search-engine-results-ai-distribute-malware

Report completeness: High

Threats:
Blackseo_technique
Seo_poisoning_technique
Lumma_stealer
Legionloader
Vidar_stealer
Dll_sideloading_technique
Process_hollowing_technique
Dll_injection_technique
Process_injection_technique

Geo:
Latvian

TTPs:
Tactics: 7
Technics: 11

IOCs:
Domain: 23
Url: 3
File: 3
Hash: 6

Soft:
ChatGPT, WordPress, NSIS installer, Microsoft Word, AutoHotKey

Algorithms:
zip, base64, 7zip, xor

Win API:
MsiSetPropertyW, decompress

Win Services:
ekrn

Languages:
javascript, powershell, autoit

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 2, windows: 1