#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте-апреле 2024 года произошел киберинцидент, связанный с использованием устройства Windows, которое использовалось в качестве сервера для размещения вредоносных программ BEARDSHELL и SLIMAGENT. BEARDSHELL использовала шифрование Chacha20-Poly1305, передавала данные через Icedrive и добилась стойкости с помощью изменений в реестре. Атака началась с вредоносного макроса в документе, указывающего на подключение хакера к APT28 и расширенный доступ к целевой организации.
-----

В марте-апреле 2024 года был выявлен киберинцидент, связанный с использованием технического устройства в информационно-коммуникационной системе центрального органа исполнительной власти. Команда CERT-UA обнаружила, что это устройство, работающее под управлением операционной системы Windows, выполняло роль сервера и размещало два вредоносных инструмента - BEARDSHELL и SLIMAGENT. Обе программы были написаны на C++ и использовали различные методы для реализации хакерских атак, включая загрузку и выполнение сценариев PowerShell, а также эксфильтрацию данных.

Бэкдор BEARDSHELL специально использовал алгоритм шифрования Chacha20-Poly1305 для своих операций. Он взаимодействовал с хакерами через API-интерфейс службы Icedrive, создавая уникальный каталог для каждой взломанной машины на основе хэша имени компьютера и GUID его аппаратного профиля. Среди обнаруженных критически важных компонентов был "Ctec.dll", который расшифровывал и выполнял шелл-код из файла изображения с именем "Windows.png", что в конечном итоге привело к запуску варианта вредоносного ПО Covenant "KMQSyck.dx4.exe". Предполагалось, что этот фреймворк облегчает загрузку другого исполняемого файла “%Localappdata%\PACKAGSES\PLAYSNDSRV.DLL”, предназначенного для чтения из WAV-файла ("Sample-03.WAV") и дальнейшего распространения бэкдора BEARDSHELL.

Устойчивость бэкдора BEARDSHELL была обеспечена путем создания записей реестра, в частности, раздела "HKEY_CURRENT_USER\Software\Classes\CLSID", который был разработан для запуска запланированной задачи в мультимедийной системе Windows. Эта операция свидетельствует о передовых методах обеспечения сохранности данных и подчеркивает усилия группы по обеспечению долгосрочного доступа к скомпрометированным системам.

Первоначальное нарушение было инициировано с помощью документа под названием "Act.doc", который содержал вредоносный макрос, отправленный через Signal. Анализ показал, что злоумышленник обладал подробными сведениями об организации-мишени до начала атаки, что подчеркивает изощренность задействованного хакера, предположительно связанного с группой APT28 (известной различными кибероперациями). Тщательное расследование и ответные меры, проведенные CERT-UA в сотрудничестве с военными подразделениями по кибербезопасности, привели к выявлению этих вредоносных инструментов и методов, хотя полный масштаб атаки и ее последствия остаются объектом постоянного изучения.

#ParsedReport #CompletenessMedium
24-06-2025

APT-C-06 (DarkHotel) uses BYOVD technology to analyze the latest attack activities

https://www.ctfiot.com/258410.html

Report completeness: Medium

Actors/Campaigns:
Darkhotel

Threats:
Byovd_technique
Zemana_tool

Victims:
Trade personnel

Geo:
North korea, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1068, T1204.002, T1562.001, T1566.001, T1620

IOCs:
File: 6
Hash: 2
Coin: 1

Soft:
WeChat, windows defender, Microsoft Defender

Algorithms:
md5, rc4

Win API:
MsiGetPropertyW, RtlDecompressBuffer

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-06 нацелился на торговый персонал, связанный с Северной Кореей, с помощью фишинговых электронных писем, содержащих пакеты вредоносных сертификатов. В ходе атаки использовались файлы на корейском языке, что привело к сбою в работе Microsoft Defender, а также использовалась технология BYOVD для повышения привилегий и прекращения работы конкурирующих вредоносных программ.
-----

В феврале 2025 года хакер APT-C-06 запустил кампанию с использованием вредоносных пакетов для установки сертификатов, отправленных по фишинговым электронным письмам. Эта операция напоминает их предыдущую атаку в начале 2024 года, в ходе которой основное внимание по-прежнему уделялось торговому персоналу, связанному с Северной Кореей, но число лиц, ставших мишенью, увеличилось. В ходе атаки использовались установочные пакеты на корейском языке, а вредоносная полезная нагрузка была доставлена в сжатом файле с надписью (2025).zip, что переводится как "электронный сертификат для обслуживания". Внутри этого архива находился файл с именем cert.msi, выполнение которого инициировало серию вредоносных действий, в конечном итоге позволивших полезной нагрузке находиться на компьютере жертвы.

После выполнения скомпрометированная среда запускает дальнейшие действия, включая запуск сценария PowerShell, который отображает вредоносное изображение, что еще больше вводит пользователя в заблуждение, заставляя поверить в законность установки. Методы атак претерпевают эволюцию, переходя от изощренных способов использования уязвимостей в тяжелых условиях к более рациональным и инновационным методам доставки полезной нагрузки. APT-C-06 адаптирует свою тактику для использования более простых механизмов, которые кажутся менее сложными, но остаются эффективными.

Структура недавней вредоносной программы включала в себя привычные процедуры инициализации, такие как расшифровка параметров конфигурации и последующее извлечение шеллкода из основной программы. Функциональность этого шеллкода включала загрузку переносимого исполняемого файла (PE) для выполнения задач "мягкого уничтожения" и применения мер защиты от отладки. Примечательно, что вредоносная программа отключает меры безопасности Microsoft Defender, изменяя его стандартные действия по обработке в зависимости от серьезности угрозы, что в конечном итоге нарушает возможности облачной защиты.

В ходе этой кампании были идентифицированы два конкретных системных драйвера с хэшами MD5 21e13f2cb269dfeae5e1d09887d47bb и f53fa44c7b591a2be105344790543369, которые связаны с технологией Zemana для прекращения работы конкурирующих вредоносных программ. Злоумышленник использовал методику BYOVD (Приведите свой собственный уязвимый драйвер), используя уязвимые драйверы для повышения привилегий и обхода протоколов безопасности. Выдав специальные коды управления вводом-выводом для дескрипторов устройств, связанных с этими драйверами, в сочетании с идентификатором процесса целевого программного обеспечения, злоумышленник смог успешно завершить эти процессы, продемонстрировав стратегическую и техническую эволюцию своего подхода к кибератакам.

#ParsedReport #CompletenessLow
25-06-2025

Top 3 Cyber Attacks in June 2025: GitHub Abuse, Control Flow Flattening, and More

https://any.run/cybersecurity-blog/cyber-attacks-june-2025/

Report completeness: Low

Threats:
Braodo
Remcos_rat
Netsupportmanager_rat
Pyobfuscate_tool
Lolbin_technique

Industry:
Retail, Telco, Healthcare, Financial

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.001, T1059.003, T1059.007, T1070.004, T1071.003, T1105, T1140, T1218, have more...

IOCs:
File: 4

Soft:
Linux, Android

Algorithms:
base64, zip

Win Services:
WebClient

Languages:
visual_basic, python, powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2025 года были совершены изощренные кибератаки с использованием запутанных скриптов и законных сервисов для доставки вредоносных программ. Кампания Braodo stealer размещает полезную информацию на GitHub, избегая обнаружения с помощью запутанных файлов BAT, выполняющих команды PowerShell, в то время как для доставки вредоносных программ Remcos используется сглаживание потока управления. Сложность обнаружения возрастает по мере того, как участники используют многоэтапные скрипты и LOLBins, что требует расширенных инструментов анализа для идентификации угроз.
-----

Серия изощренных кибератак в июне 2025 года продемонстрировала растущее использование запутанных скриптов и законных сервисов для доставки вредоносных программ. Примечательно, что кампания Braodo stealer использует общедоступные репозитории на GitHub для размещения своих полезных данных, в первую очередь для утечки данных, пытаясь избежать обнаружения. В кампании используются запутанные файлы BAT, которые содержат вводящие в заблуждение комментарии, затрудняющие анализ. Первый файл BAT выполняет скрытую команду PowerShell для загрузки второго файла BAT с GitHub, маскирующегося под изображение в формате .PNG, что приводит к дальнейшим вредоносным действиям, включая поиск дополнительных полезных данных и применение TLS 1.2. Полезная нагрузка Braodo, извлеченная из ZIP-файла, работает с использованием запутанного скрипта Python и содержит строки полезной нагрузки в кодировке Base64. Анализу такого поведения способствуют такие инструменты, как ANY.RUN Script Tracer и Threat Intelligence Lookup, которые позволяют аналитикам находить последние образцы и анализировать эксплуатационные характеристики Braodo.

Параллельно с этим другая угроза связана с JavaScript, который использует обфускацию, сглаживающую поток управления, для доставки вредоносного ПО Remcos. В этом методе используются самонаводящиеся функции и сложные циклы, которые затрудняют поиск строк, что затрудняет обнаружение для статических анализаторов. Влияние PowerShell на эти атаки усиливается, что подтверждается кампанией, в которой используется запутанный BAT-файл для доставки троянской программы удаленного доступа NetSupport (RAT). Эта атака использует запутанный сценарий для запуска PowerShell, который впоследствии загружает и выполняет компоненты для клиента NetSupport, обеспечивая несанкционированный контроль над компьютерами жертвы. Возможность идентифицировать такое запутанное поведение скрипта имеет решающее значение для анализа угроз с помощью инструментов, которые позволяют вести журнал выполнения скрипта без ручной деобфускации.

Поскольку злоумышленники все чаще используют многоэтапные скрипты и автономные двоичные файлы (LOLBins), традиционные методы обнаружения могут не учитывать важные признаки компрометации. Аналитический поиск угроз, интегрированный в такие платформы, как ANY.RUN, жизненно важен для расширения охвата обнаружения и ускорения расследования угроз. Быстро сопоставляя подозрительное поведение с соответствующими образцами вредоносных программ и кампаниями, специалисты по безопасности могут лучше понимать возникающие угрозы и тактику, применяемую киберпреступниками. Этот меняющийся ландшафт подчеркивает необходимость в передовых инструментах анализа, способных ориентироваться в сложностях современных методов распространения вредоносных программ.

#ParsedReport #CompletenessHigh
24-06-2025

Black Hat SEO Poisoning Search Engine Results For AI to Distribute Malware

https://www.zscaler.com/blogs/security-research/black-hat-seo-poisoning-search-engine-results-ai-distribute-malware

Report completeness: High

Threats:
Blackseo_technique
Seo_poisoning_technique
Lumma_stealer
Legionloader
Vidar_stealer
Dll_sideloading_technique
Process_hollowing_technique
Dll_injection_technique
Process_injection_technique

Geo:
Latvian

TTPs:
Tactics: 7
Technics: 11

IOCs:
Domain: 23
Url: 3
File: 3
Hash: 6

Soft:
ChatGPT, WordPress, NSIS installer, Microsoft Word, AutoHotKey

Algorithms:
zip, base64, 7zip, xor

Win API:
MsiSetPropertyW, decompress

Win Services:
ekrn

Languages:
javascript, powershell, autoit

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры используют веб-сайты, связанные с искусственным интеллектом, с помощью Black Hat SEO для распространения вредоносных программ, таких как Vidar Stealer, Lumma Stealer и Legion Loader. Атака использует JavaScript для сбора и перенаправления данных, а AWS CloudFront - для размещения скриптов. Вредоносное ПО доставляется через защищенные паролем ZIP-файлы и использует такие методы, как дополнительная загрузка DLL, чтобы избежать обнаружения.
-----

Недавнее исследование, проведенное Zscaler ThreatLabZ, выявило хакеров, использующих веб-сайты, связанные с ИИ, которые используются для распространения вредоносных программ. хакеры используют нынешнюю популярность инструментов ИИ, таких как ChatGPT и Luma AI, применяя методы SEO-оптимизации "черных шляп" для манипулирования рейтингами в поисковых системах. Такая стратегия увеличивает вероятность того, что неосторожные пользователи перейдут на эти вредоносные сайты при поиске тем, связанных с искусственным интеллектом. Основными вариантами вредоносного ПО, распространяемыми через эти сайты, являются Vidar Stealer, Lumma Stealer и Legion Loader, которые могут включать в себя функции для кражи конфиденциальной информации, включая данные о криптовалюте.

Как только пользователь попадает на одну из этих вредоносных страниц, сайт использует JavaScript для выполнения цепочки перенаправлений, ведущей к доставке вредоносного ПО. Этот скрипт способен выполнять сканирование браузера, собирать такие данные, как версия браузера, разрешение окна и файлы cookie, прежде чем перенаправить пользователя на основе собранной информации. Важным аспектом инфраструктуры атаки является использование AWS CloudFront, легальной сети доставки контента, которую злоумышленники используют для размещения своих скриптов, тем самым усиливая маскировку своих операций.

Центральное место в процессе распространения вредоносного ПО занимает домен, обозначенный как gettrunkhomuto.info, который взаимодействует с данными браузера пользователя и организует перенаправление на страницы, содержащие вредоносное ПО. Злоумышленники используют кодировку Base64, чтобы скрыть вредоносные URL-адреса, что затрудняет их обнаружение. JavaScript, который работает на этих веб-сайтах, связанных с искусственным интеллектом, также проверяет наличие блокировщиков рекламы, останавливая дальнейшие действия, если таковые будут обнаружены, чтобы процесс перенаправления оставался беспрепятственным.

Заключительные этапы цепочки распространения вредоносного ПО включают доставку полезной нагрузки в виде, казалось бы, законных, больших установочных файлов, которые позволяют обойти распространенные фильтры безопасности. Например, Vidar и Lumma Stealer распространяются в виде защищенных паролем ZIP-архивов, содержащих установщики NSIS. Эти установщики могут вводить пользователей в заблуждение, заставляя думать, что они обрабатывают вредоносные файлы, но они включают компоненты, которые генерируют исполняемые файлы, привязанные к вредоносной полезной нагрузке.

Метод распространения Legion Loader аналогичен, но еще более изощрен. Здесь пользователи получают доступ к ряду защищенных паролем ZIP-архивов, где под законным на вид MSI-файлом скрываются вредоносные элементы. После ряда взаимодействий, включая передачу данных на сервер управления (C2) и использование BAT-файлов для выполнения и извлечения полезной нагрузки, конечная вредоносная нагрузка внедряется в законные системные процессы с использованием таких методов, как дополнительная загрузка библиотек DLL и блокировка процессов. Этот передовой метод не только гарантирует скрытность вредоносного ПО, но и усложняет его обнаружение системами безопасности.

#ParsedReport #CompletenessMedium
25-06-2025

Iranian Educated Manticore Targets Leading Tech Academics

https://research.checkpoint.com/2025/iranian-educated-manticore-targets-leading-tech-academics/

Report completeness: Medium

Actors/Campaigns:
Educated_manticore (motivation: cyber_espionage)
Charming_kitten
Apt42
Greencharlie

Threats:
Spear-phishing_technique
Credential_harvesting_technique
Charmpower
Powerstar
Powerless

Victims:
Israeli journalists, Cyber security experts, Computer science professors, Technology professionals, Government officials, Military officials, Research sector individuals, Media sector individuals, Policy sector individuals, Academic experts, have more...

Industry:
Military, Government, Education

Geo:
Israel, Iran, Israeli, Iranian

ChatGPT TTPs:
do not use without manual check
T1056.001, T1071.001, T1204, T1556.002, T1566.002, T1583.001, T1584.001, T1586.002

IOCs:
Domain: 128
File: 2
Url: 1
IP: 13

Soft:
WhatsApp, Gmail, Outlook

Algorithms:
base64

Functions:
getElementById

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Educated Manticore, связанная с КСИР Ирана, активизировала фишинг-атаки на израильских журналистов и аналитиков, используя сложные тактики, такие как контент, созданный искусственным интеллектом, и клавиатурные шпионы в режиме реального времени для сбора учетных данных и кодов 2FA, поддерживая динамичную и развивающуюся фишинговую инфраструктуру.
-----

Иранская хакерская группировка Educated Manticore, связанная с Корпусом стражей исламской революции (КСИР), активизировала фишинговые кампании, направленные против израильских журналистов, экспертов по кибербезопасности и ученых, на фоне обострения напряженности в отношениях между Ираном и Израилем. Группа известна своей нестандартной тактикой фишинга, когда злоумышленники выдают себя за вымышленных руководителей технологических компаний или исследователей, чтобы связаться со своими целями по электронной почте и WhatsApp. Жертв часто перенаправляют на поддельные страницы входа в Gmail или приглашения на Google Meet, где собирают их учетные данные и коды двухфакторной аутентификации (2FA), предоставляя злоумышленникам несанкционированный доступ к конфиденциальным учетным записям.

Компания Educated Manticore, также известная в сообществе кибербезопасности как APT42, Charming Kitten или Mint Sandstorm, в течение многих лет использовала скрытый фишинг в качестве основной стратегии, нацеленной на отдельных лиц в различных секторах, включая правительство и средства массовой информации. Группа использует изощренные фишинговые кампании, чтобы завоевать доверие высокопоставленных лиц, используя индивидуальные материалы, часто представляя себя как заслуживающих доверия людей из известных фирм по кибербезопасности. Заметная тактика, наблюдавшаяся в ходе недавних атак, заключается в использовании контента, созданного с помощью искусственного интеллекта, для повышения правдоподобности сообщений, несмотря на некоторые вводящие в заблуждение элементы, которые предупреждают наблюдательные цели о потенциальных мошенниках.

Инфраструктура фишинга эволюционировала, включая схемы регистрации доменов и использование современных веб-технологий, таких как одностраничные приложения на основе React (SPA), которые обеспечивают динамичный пользовательский опыт. Одной из важнейших особенностей этих фишинговых наборов является использование кейлоггера в режиме реального времени, который фиксирует нажатия клавиш и передает их в режиме реального времени злоумышленникам, расширяя их возможности по сбору конфиденциальной информации. Фишинговые страницы созданы таким образом, чтобы точно копировать законные процессы входа в систему для таких сервисов, как Google, Outlook и Yahoo, тем самым повышая шансы на вовлечение жертвы.

Используя одностраничные приложения и взаимодействие в режиме реального времени, хакеры упрощают несколько этапов сбора учетных данных, внедряя функции, поддерживающие ретрансляционные атаки 2FA, которые потенциально могут позволить им обойти дополнительные меры безопасности. Было показано, что домены, используемые в этих кампаниях, быстро развиваются, что свидетельствует о гибком подходе к поддержанию работоспособности в условиях тщательного контроля.

Постоянные и эффективные кампании "Образованной Мантикоры" по борьбе с фишингом свидетельствуют о сохраняющейся угрозе для граждан Израиля, особенно в условиях продолжающегося конфликта. Способность группы адаптировать и использовать передовые методы фишинга наряду с обширной инфраструктурой, способной быстро развертывать и удалять домены, является примером проблем, с которыми приходится сталкиваться при противодействии их операциям. Усилия по выявлению и пресечению этих атак пока не привели к существенному замедлению темпов, что позволяет предположить, что группа будет продолжать атаковать учетные данные и идентификационные данные, связанные с их стратегическими интересами.

#ParsedReport #CompletenessLow
24-06-2025

Malicious Python Package Typosquats Popular passlib Library, Shuts Down Windows Systems

https://socket.dev/blog/malicious-python-package-typosquats-popular-passlib-library

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Python developers

TTPs:

ChatGPT TTPs:
do not use without manual check
T1059.006, T1204.002, T1566.002

IOCs:
File: 3
Email: 2

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет Python psslib, созданный хакером umaraq, использует опечатки в легитимной библиотеке passlib и завершает работу систем Windows при неправильном вводе пароля, создавая значительные риски для разработчиков и библиотек безопасности. Его поведение может привести к потере данных и сбоям в работе системы, что негативно скажется на приложениях, использующих механизмы аутентификации.
-----

Команда Socket по исследованию угроз обнаружила вредоносный пакет Python под названием psslib, опубликованный хакером, известным как umaraq. Этот пакет маскируется под решение для защиты паролем, но предназначен для немедленного завершения работы систем Windows при вводе неправильных паролей. Пакет psslib содержит опечатки в библиотеке legitimate passlib, которая представляет собой надежный инструментарий для хэширования паролей, часто используемый разработчиками для безопасного управления паролями. Ежемесячно его загружают более 8,9 миллионов раз. Вредоносный пакет в настоящее время все еще находится в реестре, что требует официальных усилий по его удалению из-за его вредоносного поведения, помеченного сканером искусственного интеллекта Socket как вредоносный.

Риск, связанный с атаками на библиотеки безопасности с использованием опечаток, особенно велик, поскольку они могут использовать повышенные привилегии, которыми обычно обладают разработчики. Когда эти люди устанавливают такие вредоносные пакеты, это может привести к немедленным последствиям на системном уровне, обходя средства контроля безопасности и подвергая риску целостность как сред разработки, так и производственных систем. Возможности такого пакета, как psslib, выходят за рамки локальных рабочих станций разработчиков, поскольку библиотеки безопасности часто интегрируются в пользовательские приложения и критически важные конвейеры CI/CD. Таким образом, компрометация одного пакета может иметь каскадные последствия, которые затрагивают конечных пользователей и бизнес-процессы, зависящие от механизмов аутентификации.

Пакет psslib использует присущее разработчикам доверие к пакетам, которые заявляют о предоставлении функций безопасности. Он ложно позиционирует себя как средство защиты приложений на Python, в то время как содержит деструктивный код, который приводит к потере данных и сбоям в работе системы. Кроме того, в README и документации, связанной с пакетом, ошибочно утверждается, что они содержат защитные функции для программ на Python. Этот вредоносный код демонстрирует поведение, специфичное для сред Windows, что указывает на то, что хакер адаптировал свою атаку к платформам, обычно используемым разработчиками для автоматизации, написания сценариев и разработки приложений, связанных с Python.

#ParsedReport #CompletenessHigh
25-06-2025

Another Wave: North Korean Contagious Interview Campaign Drops 35 New Malicious npm Packages

https://socket.dev/blog/north-korean-contagious-interview-campaign-drops-35-new-malicious-npm-packages

Report completeness: High

Actors/Campaigns:
Contagious_interview

Threats:
Supply_chain_technique
Typosquatting_technique
Beavertail
Invisibleferret

Victims:
Software engineers, Developers, Job seekers, Blockchain developers

Industry:
Financial

Geo:
North korean, Dprk, Korea

TTPs:

IOCs:
File: 7
Url: 6
Hash: 3
IP: 2
Email: 18

Soft:
macOS, Linux, Chrome, Opera, curl, Node.js, Docker

Wallets:
exodus_wallet

Crypto:
solana

Algorithms:
sha256

Functions:
eval, getMacAddress

Languages:
javascript

Platforms:
cross-platform

Links:
https://gist.github.com/saurabhnemade/cf377389d34e8800b48afd505c7834fe

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4