#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейские хакеры проводят атаку на цепочку поставок с использованием пакетов npm с опечатками, которые доставляют загрузчик HexEval, который извлекает вредоносное ПО BeaverTail для кражи данных. HexEval скрывает свои коммуникации на уровне C2 и использует социальную инженерию LinkedIn для заражения разработчиков, в то время как BeaverTail нацелен на конфиденциальные данные. Развивающаяся кампания требует повышения осведомленности сообщества разработчиков программного обеспечения.
-----

Исследовательская группа Socket Threat обнаружила продолжающуюся атаку северокорейских хакеров на цепочку поставок, связанную с операцией Contagious Interview. В этой атаке используются пакеты npm с опечатками, при этом 35 вредоносных пакетов были опубликованы в 24 различных учетных записях npm, шесть из которых остаются активными. В совокупности эти пакеты были загружены более чем 4000 раз. Вредоносные пакеты содержат загрузчик с шестнадцатеричным кодом под названием HexEval, который после установки собирает метаданные с хоста и извлекает последующие вредоносные скрипты. Основным вредоносным ПО второго этапа, связанным с этой операцией, является BeaverTail, вариант для кражи информации, который ссылается на бэкдор третьего этапа, известный как InvisibleFerret. Этот многоуровневый подход помогает избежать обнаружения с помощью статических сканеров и проверок безопасности.

HexEval работает в соответствии со сложной стратегией обфускации, кодируя имена модулей и URL-адреса командно-диспетчерского пункта (C2) в шестнадцатеричном формате. При выполнении он отправляет запрос HTTPS POST на одну из трех жестко запрограммированных конечных точек C2, которая выборочно предоставляет дополнительные полезные данные в зависимости от условий выполнения, что усложняет усилия по обнаружению. Способность загрузчика HexEval динамически оценивать поступающие данные создает значительные трудности для анализа, поскольку он может выдавать безопасные ответы, позволяющие избежать обнаружения, и при этом резервировать извлечение для определенных запросов.

Хакеры используют методы социальной инженерии, преимущественно в LinkedIn, где они выдают себя за рекрутеров и заманивают разработчиков привлекательными предложениями о работе и заданиями по написанию кода. Для выполнения этих задач часто требуется клонировать хранилища, содержащие вредоносные пакеты, заставляя их выполнять код локально и за пределами контейнерных сред. Жертвы постоянно сообщали о последующих просьбах участвовать в видеозвонках в режиме реального времени, во время которых им рекомендуется отключать меры безопасности, такие как Docker, для обеспечения полного заражения.

Вредоносная программа BeaverTail после запуска сканирует конфиденциальные данные в локальных файловых системах, нацеливаясь на браузеры и онлайн-кошельки, и корректирует свое поведение в зависимости от операционной системы. Бэкдор третьего этапа, InvisibleFerret, извлекается и запускается как часть этой цепочки заражения, облегчая постоянный доступ и дальнейшую доставку полезной информации. Злоумышленники зарегистрировали как минимум 19 адресов электронной почты под вымышленными именами для своих учетных записей npm, дополняя свои усилия по укреплению доверия с помощью детальной социальной инженерии. Поскольку эта кампания продолжает развиваться и ожидается появление новых вредоносных пакетов, необходимость повышения осведомленности и бдительности в сообществе разработчиков программного обеспечения остается крайне важной.

#ParsedReport #CompletenessHigh
26-06-2025

ClickFix makes itsway intoRussia

https://bi.zone/eng/expertise/blog/proydite-proverku-i-poluchite-vpo-clickfix-dobralas-do-rossii/

Report completeness: High

Threats:
Clickfix_technique
Fakecaptcha_technique
Octowave_loader
Dll_sideloading_technique
Steganography_technique

Geo:
Russian, Russia

TTPs:
Tactics: 6
Technics: 0

IOCs:
Command: 4
Path: 10
File: 12
Registry: 2
Url: 1
Hash: 11
Domain: 2
IP: 1

Soft:
Windows Task Scheduler, Task Scheduler

Algorithms:
chacha20, zip

Functions:
GetVolumeInformation

Win API:
LockFile, CoCreateGuid

Languages:
powershell, javascript, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2025 года в целевых фишинговых кампаниях ClickFix в России использовалась вредоносная программа Octowave Loader, замаскированная под программу установки Squirrel, использующая команды PowerShell, стороннюю загрузку библиотек DLL и скрытую связь C2 для утечки данных. Стратегии обнаружения направлены на мониторинг необычного использования процессов и нарушений в реестре.
-----

В июне 2025 года появились целенаправленные кампании по исправлению кликов, использующие сложные методы социальной инженерии, в первую очередь в российском регионе. Эти кампании часто проводятся в форме фишинговых электронных писем, которые выдают себя за авторитетные организации для повышения их эффективности. Пользователям предлагается перейти по ссылкам, содержащимся в PDF-файлах, что приводит их на вредоносный веб-сайт, созданный в целях социальной инженерии. При взаимодействии пользователи неосознанно выполняют команду PowerShell, которая облегчает развертывание вредоносного ПО.

Основным вредоносным ПО, используемым в этих кампаниях, является Octowave Loader, который замаскирован под программу установки Squirrel. Этот загрузчик состоит из нескольких компонентов: законного установщика программного обеспечения, вредоносной библиотеки, WAV-файла, содержащего стеганографически скрытый шеллкод, и исполняемого файла, который извлекается из шеллкода. Одним из наиболее распространенных методов является сторонняя загрузка библиотек DLL, при которой вредоносная программа загружает вредоносные библиотеки через легальные библиотеки, что затрудняет обнаружение вредоносной активности системами безопасности. Механизмы сохранения устанавливаются путем изменения раздела реестра Run и создания задачи в планировщике задач Windows.

Octowave Loader предназначен для сбора информации о зараженной системе, включая название компьютера, имя пользователя и версию операционной системы. Эти данные шифруются с использованием алгоритма ChaCha20 и затем отправляются на сервер управления (C2) через HTTP POST-запрос, который имитирует законный заголовок User-Agent. Кроме того, вредоносная программа выполняет вредоносные команды PowerShell в соответствии с определенной структурой команд, и результаты выполнения этих команд возвращаются на сервер C2.

Для противодействия угрозам, исходящим от Octowave Loader, были предложены стратегии обнаружения. К ним относятся мониторинг необычного использования rundll32.exe и regsrv32.exe процессов, тщательная проверка ульев реестра на наличие нерегулярных записей в файлах и бдительность в отношении неожиданных действий в планировщике задач. Такие меры имеют решающее значение для выявления и смягчения последствий действий этих изощренных хакеров.

#ParsedReport #CompletenessLow
26-06-2025

Ongoing Campaign Abuses Microsoft 365s Direct Send to Deliver Phishing Emails

https://www.varonis.com/blog/direct-send-exploit

Report completeness: Low

Threats:
Qshing_technique

Victims:
More than 70 organizations, Us-based organizations

Geo:
Ukrainian

ChatGPT TTPs:
do not use without manual check
T1114, T1566.001, T1566.002, T1584.004

IOCs:
IP: 1
Url: 2

Soft:
Twitter, outlook

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания, нацеленная на функцию прямой отправки в Microsoft 365, затрагивает более 70 организаций в США, позволяя хакерам обманывать внутренних пользователей без проверки подлинности. Злоумышленники используют сценарии PowerShell для отправки электронных писем, используя этот метод из-за его простоты. Стратегии смягчения последствий включают отказ от прямой отправки, применение политик DMARC и информирование пользователей о рисках, связанных с QR-кодами.
-----

Команда криминалистов Varonis по обнаружению и реагированию на управляемые данные (MDDR) выявила фишинговую кампанию, использующую функцию прямой отправки Microsoft 365, которая затрагивает более 70 организаций, в основном в США. Эта функция позволяет внутренним устройствам, таким как принтеры, отправлять электронные письма без проверки подлинности, что было использовано хакерами для обмана внутренних пользователей и предотвращения несанкционированного доступа. распространяйте фишинговые электронные письма без необходимости прямого взлома каких-либо учетных записей.

Функция прямой отправки облегчает передачу электронной почты в среде Microsoft 365 за счет использования интеллектуального хостинга, связанного с клиентом, который обычно имеет формат tenantname.mail.protection.outlook.com. Злоумышленникам нужен только домен и действительный внутренний получатель для отправки поддельных электронных писем, которые, по-видимому, исходят из организации. В наблюдаемой кампании участники использовали сценарии PowerShell для отправки этих электронных писем, в примерах которых указывалось отсутствие необходимых учетных данных для входа. Внешние источники, не прошедшие проверку подлинности, могут отправлять электронные письма получателям, находящимся внутри клиента, что делает этот метод особенно простым и привлекательным для фишинга.

Признаки этих атак включали необычную активность по электронной почте, например, отправку пользователями электронных писем самим себе и использование пользовательских агентов командной строки, таких как PowerShell. Примечательно, что оповещения были вызваны подключениями с подозрительных IP-адресов, в том числе с украинского IP-адреса, что указывало на потенциальное злоупотребление, что отличалось от типичной схемы, когда такие оповещения сопровождают попытки аутентификации. В одном случае фишинговые электронные письма были замаскированы под уведомления голосовой почты с вложениями в формате PDF, содержащими QR-код. Этот QR-код перенаправлял пользователей на фишинговый веб-сайт, предназначенный для получения учетных данных Microsoft 365.

Чтобы смягчить эту угрозу, Варонис рекомендует принять ряд упреждающих мер. Организациям следует включить параметр "Отклонять прямую отправку" в Центре администрирования Exchange, внедрить строгие политики DMARC (например, p=отклонить) и помечать внутренние электронные письма, не прошедшие проверку подлинности, для проверки или карантина. Дополнительные меры защиты включают в себя защиту от сбоев SPF в рамках Exchange Online Protection (EOP) и использование политик защиты от спуфинга. Информирование пользователей об опасностях, связанных с прикреплением QR-кодов, также имеет решающее значение для предотвращения атак с "отменой". Кроме того, рекомендуется применять многофакторную аутентификацию (MFA) и политики условного доступа для защиты учетных записей в случае кражи учетных данных, а также устанавливать статический IP-адрес в записи SPF для предотвращения злоупотреблений при отправке.

#ParsedReport #CompletenessMedium
25-06-2025

Cybercriminals Abuse Open-Source Tools To Target Africas Financial Sector

https://unit42.paloaltonetworks.com/cybercriminals-attack-financial-sector-across-africa/

Report completeness: Medium

Actors/Campaigns:
Cl-cri-1014 (motivation: cyber_criminal)

Threats:
Poshc2_tool
Chisel_tool
Meshagent_tool

Victims:
Financial institutions

Industry:
Financial

Geo:
Africa

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1055.002, T1059.001, T1078, T1090.001, T1547.001, T1562, T1566.002

IOCs:
File: 5
Hash: 22
Domain: 12

Soft:
Component Object Model, PsExec, macOS, Linux, Android, Active Directory

Algorithms:
zip, sha256

Languages:
powershell, python

Links:
https://github.com/Ylianst/MeshAgent
https://github.com/jpillora/chisel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакер CL-CRI-1014 атакует африканские финансовые учреждения, используя такие инструменты, как Classroom Spy и PoshC2, для маскировки вредоносных программ, выполнения команд и кражи учетных данных, избегая обнаружения. Их тактика включает подделку законного программного обеспечения, использование прокси-инструментов, таких как Chisel, и поддержание постоянства с помощью замаскированных файлов.
-----

Хакер, связанный с кластером CL-CRI-1014, атакует финансовые учреждения по всей Африке, используя сложную схему действий, в которой используются как инструменты с открытым исходным кодом, так и свободно доступные инструменты. Их оперативная тактика заключается в подделке сигнатур файлов из законного программного обеспечения, чтобы замаскировать свои инструменты и избежать обнаружения. Этот акт подмены не отражает каких-либо уязвимостей в самих законных продуктах, но служит интересам злоумышленника в сокрытии своих вредоносных действий.

В ходе недавних кампаний группа перешла от использования MeshAgent — инструмента с открытым исходным кодом для удаленного управления устройствами - к использованию Classroom Spy, который позиционируется как образовательное программное обеспечение для мониторинга активности учащихся. Этот переход демонстрирует адаптивную стратегию в методах проведения атак. Такие инструменты, как PoshC2 и Chisel, занимают видное место в арсенале этого хакера. PoshC2 - это платформа для атак с открытым исходным кодом, которая позволяет создавать импланты на различных языках, таких как PowerShell и C#.NET, облегчая выполнение команд в целевых средах. В этом случае имплантаты PoshC2 часто упаковывались с использованием специализированного упаковщика на основе Nim, который запускал имплантат только в том случае, если хост-компьютер был частью домена Active Directory, что, вероятно, служило механизмом предотвращения анализа.

Злоумышленники продемонстрировали возможности кражи учетных данных, перехватывая учетные данные пользователей из зараженных сред для установки прокси-серверов. PoshC2 использует эти прокси-серверы для связи с серверами управления (C2), адаптируя определенные имплантаты для работы в конкретных зараженных средах. Методы сохранения были использованы творчески; например, вредоносное ПО было замаскировано под законные файлы, такие как CortexUpdater.exe, а связанные с ним запланированные задачи имитировали подлинные службы, чтобы остаться незамеченными.

Chisel, еще один инструмент, используемый злоумышленниками, облегчает проксирование сетевого трафика в обход таких мер безопасности, как брандмауэры. После запуска на компьютере жертвы Chisel позволяет компьютеру подключаться к серверу, контролируемому злоумышленником, эффективно обеспечивая удаленный доступ и контроль над сетью.

Описанные действия указывают на то, что CL-CRI-1014 функционирует как посредник первоначального доступа, используя скомпрометированные сети и потенциально продавая доступ другим злоумышленникам. Этот способ действия означает более широкую стратегию, в рамках которой хакер стремится внедриться в сети финансового сектора, избегая при этом обнаружения с помощью законной маскировки и умелого использования различных инструментов и методов.

#ParsedReport #CompletenessLow
26-06-2025

DeepSeek Deception: Sainbox RAT & Hidden Rootkit Delivery

https://www.netskope.com/blog/deepseek-deception-sainbox-rat-hidden-rootkit-delivery

Report completeness: Low

Actors/Campaigns:
Silver_fox

Threats:
Sainbox_rat
Gh0st_rat

Geo:
Chinese, China

ChatGPT TTPs:
do not use without manual check
T1005, T1014, T1027, T1036.005, T1055.001, T1055.002, T1068, T1105, T1204.002, T1219, have more...

IOCs:
File: 4
Hash: 19
IP: 3

Soft:
DeepSeek, Sogou, Chromium, Windows registry

Win API:
NtLoadDriver

Links:
https://github.com/monoxgas/sRDI
have more...
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/Sainbox
https://github.com/JKornev/hidden

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В кампании, нацеленной на пользователей, говорящих на китайском языке, используются программы установки поддельного программного обеспечения для распространения Sainbox RAT и скрытого руткита с помощью фишинговой тактики. Злоумышленники используют файлы MSI для дополнительной загрузки вредоносной библиотеки DLL, которая помогает в удаленном доступе, краже данных и скрытых операциях, которые не поддаются обнаружению. Группа Silver Fox из Китая предварительно отнесена к этой деятельности на основании их ТТП.
-----

Netskope Threat Labs выявила кампанию по распространению Sainbox RAT и скрытого руткита, в которой использовались программы для установки поддельного программного обеспечения, специально ориентированную на китайскоязычных пользователей. В этой атаке используется тактика фишинга, при которой злоумышленники создают мошеннические веб-сайты, имитирующие законное программное обеспечение, такое как WPS Office, Sogou и DeepSeek. Вредоносная полезная нагрузка доставляется через установочные файлы MSI и PE, причем файлы MSI демонстрируют аналогичное поведение. Как только жертва загружает поддельный установщик, запускается процесс, имитирующий подлинную установку и выполняющий вредоносные действия.

Механизм заражения заключается в доступе к фишинговому сайту для загрузки поддельного установщика. Поддельные установщики, в основном MSI-файлы, запускают законный исполняемый файл с именем "Shine.exe", который используется для дополнительной загрузки вредоносной библиотеки DLL "libcef.dll." Эта DLL-библиотека маскируется под подлинную часть платформы Chromium Embedded Framework и отвечает за критическую аналитику при атаке. Она поддерживает постоянство, добавляя путь к Shine.exe в реестр Windows и считывая файл с именем "1.txt", который содержит шеллкод и дополнительные вредоносные программы.

Извлеченный шеллкод размером примерно 0xc04 байта использует методы из инструмента sRDI с открытым исходным кодом для загрузки Sainbox RAT в память, обеспечивая удаленный доступ и управление. RAT характеризуется как вариант Gh0stRAT, который облегчает различные вредоносные действия, включая кражу данных и выполнение других полезных задач. Кроме того, он интегрируется с руткит-драйвером на основе Hidden project, предназначенным для сокрытия своего присутствия и действий, обеспечивая возможности скрытности от обнаружения программным обеспечением безопасности.

Операционные характеристики, продемонстрированные в ходе этой кампании, указывают на систематическое использование фишинговых веб-сайтов для распространения вредоносных программ, одновременно повышая доверие пользователей к популярному программному обеспечению. Группа противников Silver Fox из Китая была предварительно отнесена к этим действиям со средней степенью уверенности, основываясь на их тактике, методах и процедурах (TTP). Злоумышленники используют хорошо известные варианты RAT наряду с технологией руткитов с открытым исходным кодом, что позволяет осуществлять эффективный контроль и отказываться от необходимости масштабной разработки на заказ, тем самым повышая эффективность своей работы.

Netskope Threat Labs продолжает отслеживать прогресс в разработке Sainbox RAT и любых новых методологий, связанных с Silver Fox group, что еще раз подчеркивает трудности точного отнесения хакеров к конкретным группам противников, отмечая при этом изменчивый характер ландшафта угроз.

#ParsedReport #CompletenessLow
26-06-2025

CapCut Con: Apple Phishing & Card-Stealing Refund Ruse

https://cofense.com/blog/capcut-con-apple-phishing-card-stealing-refund-ruse

Report completeness: Low

Victims:
Capcut users, Apple id users

ChatGPT TTPs:
do not use without manual check
T1036, T1078, T1566.002, T1566.003

IOCs:
IP: 4
Url: 2

Soft:
CapCut

Languages:
php

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют фишинговую кампанию с использованием фирменного знака CapCut для сбора информации об Apple ID и кредитных картах. Жертвы обманом вводят учетные данные на поддельной странице входа в систему, с помощью которой данные попадают на сервер управления. Атака использует две подсказки и манипулирует срочностью, чтобы укрепить доверие и увеличить вероятность кражи информации.
-----

Киберпреступники используют популярность CapCut, ведущего приложения для редактирования коротких видеороликов, с помощью недавней фишинговой кампании, направленной на сбор конфиденциальной информации о пользователях. Команда Cofense PDC выявила метод, с помощью которого хакеры создают убедительные поддельные счета-фактуры, в которых используются данные Apple ID и кредитной карты. Эти фишинговые схемы используют фирменный стиль CapCut, чтобы казаться законными, и успешно обманывают пользователей, заставляя их предоставлять свои учетные данные.

Когда пользователь взаимодействует с фишинговой приманкой, в частности, нажимает на ссылку "Отменить подписку", он перенаправляется на мошенническую веб-страницу, созданную для имитации официальной страницы входа в Apple ID. Указанный URL-адрес "Flashersofts.store/Applys/project/index.php" отличается от любых законных сервисов Apple, что должно насторожить пользователей. Здесь на поддельной странице пользователям предлагается ввести свои учетные данные Apple ID, используя надежный бренд для создания ложного ощущения безопасности. Как только учетные данные отправлены, они отправляются на сервер управления (C2), контролируемый злоумышленниками.

В этой схеме используется двухэтапный подход, позволяющий максимально увеличить вероятность получения учетных данных. После первоначальной кражи данных Apple ID пользователи получают повторное приглашение, в котором запрашиваются данные кредитной карты под предлогом обработки возврата средств. Этот шаг не только продолжает использовать доверие жертвы, но и использует ту же инфраструктуру C2, что усиливает бесперебойный характер атаки. Демонстрируя манипулятивную срочность с помощью угрозы нежелательных платежей и привлекательности потенциального возврата средств, злоумышленники еще больше вовлекают жертву в процесс фишинга.

Использование привычного бренда и стратегия, направленная на то, чтобы отвлечь внимание пользователей от подозрений до получения первого набора учетных данных, демонстрируют изощренность современных методов фишинга. Поэтому пользователям крайне важно сохранять здоровый скептицизм в отношении неожиданных запросов и тщательно проверять URL-адреса, чтобы защититься от подобной тактики. Постоянный мониторинг подозрительных сообщений и составление отчетов о них необходимы по мере того, как хакеры разрабатывают свои стратегии социальной инженерии.

#ParsedReport #CompletenessMedium
27-06-2025

In the Wild: Malware Prototype with Embedded Prompt Injection

https://research.checkpoint.com/2025/ai-evasion-prompt-injection/

Report completeness: Medium

Threats:
Zeus
Sandbox_evasion_technique

Industry:
Education

Geo:
Netherlands

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1105, T1140, T1204.002, T1564.001, T1573, T1583.001, T1584.004

IOCs:
File: 4
Registry: 1
Path: 4
Domain: 2
Hash: 1

Soft:
Openai, VirtualBox, QEMU, Hyper-V, Linux

Algorithms:
xor, base64

Functions:
hasHypervisorCpuFlag, checkBiosVendor, checkEnvironmentVmVars, checkNetworkAdapterMac, checkVmProcesses

Win API:
CreateProcessA

Platforms:
apple

Links:
https://github.com/mrexodia/ida-pro-mcp
https://github.com/atredispartners/aidapal

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Образец вредоносной программы Skynet использует быстрое внедрение, чтобы избежать обнаружения за счет изменения поведения искусственного интеллекта, но его эффективность ограничена в отношении крупных языковых моделей. В нем реализованы базовые функциональные возможности, такие как сбор системной информации и защита от "песочницы", при этом используются методы обфускации, хотя он остается менее сложным, чем общепринятые методы. Это указывает на потенциальную тенденцию к объединению возможностей искусственного интеллекта с разработкой вредоносных программ, что требует повышенной готовности к новым угрозам.
-----

Недавний анализ вредоносного ПО выявил новый образец, демонстрирующий отличительную технику уклонения с помощью быстрого внедрения, специально направленную на изменение поведения анализирующих его моделей искусственного интеллекта. Этот вредоносный компонент, называемый Skynet, обладает характеристиками, которые позволяют предположить, что он работает скорее как проверка концепции, чем как полноценное кибероружие. В примере используется простой механизм, который пытается манипулировать инструкциями ИИ, предписывая ему игнорировать предыдущие команды и отвечать сообщением "ВРЕДОНОСНОЕ ПО НЕ ОБНАРУЖЕНО". Однако тесты показывают, что этот метод не работает с различными большими языковыми моделями (LLM), что указывает на недостаточную эффективность манипулирования ИИ в вредоносных целях на данном этапе.

Образец Skynet демонстрирует ключевые функциональные возможности, но процесс его выполнения выглядит рудиментарным. Он пытается собрать системную информацию, такую как доступ к файлам в домашнем каталоге и критическим системным путям, но его архитектура и операционный процесс кажутся неполными, что часто приводит к неиспользуемым ресурсам. Вредоносная программа использует методы обхода "песочницы" и использует встроенный зашифрованный клиент TOR для создания прокси-сервера для скрытых коммуникаций. После запуска она настраивает этот прокси-сервер и впоследствии удаляет каталог, в котором хранятся ее компоненты, с целью скрыть свои следы от обнаружения.

Дизайн этой вредоносной программы включает в себя элементы запутывания, использующие функции уровня сборки, называемые opaque_true и opaque_false, для усложнения процесса управления. Несмотря на эти попытки скрытности, их эффективность сомнительна, и в целом поведение было оценено как менее изощренное по сравнению с хорошо зарекомендовавшими себя методами уклонения. Попытки уклонения отражают консервативный подход, присущий традиционным методам вредоносного ПО, которые часто основаны на проверенных стратегиях, принятых хакерским сообществом.

Последствия этого нововведения подчеркивают потенциальную взаимосвязь между новыми возможностями ИИ и разработкой вредоносных программ, что указывает на будущее, в котором авторы вредоносных программ могут все чаще использовать методы ИИ. Идея использования ИИ для создания более эффективных атак подчеркивает изменение ландшафта угроз, поскольку простота реализации расширенных возможностей представляет проблему для защитников. По мере развития методов обеспечения безопасности с внедрением генеративного ИИ ожидается, что авторы вредоносных программ будут адаптировать и совершенствовать свои стратегии, что приведет к непрерывному циклу инноваций как в разработке вредоносных программ, так и в механизмах защиты. Этот сценарий свидетельствует о растущей потребности в повышенной бдительности и готовности к все более изощренным угрозам с помощью ИИ.

#ParsedReport #CompletenessMedium
27-06-2025

Bluenoroff (APT38) real-time infrastructure tracking

https://www.ctfiot.com/258665.html

Report completeness: Medium

Actors/Campaigns:
Bluenoroff (motivation: financially_motivated, cyber_espionage, information_theft, sabotage)
Lazarus (motivation: financially_motivated)
Andariel
Kimsuky (motivation: cyber_espionage)
Smn
1mission
Dark_seoul

Threats:
Flame

Victims:
Bangladesh bank, Bancomext, Bank of chile, Sony pictures

Industry:
Government, Military, Financial, Critical_infrastructure, Entertainment

Geo:
Bangladesh, North korean, Chile, North korea, Mexico

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1078, T1105, T1486, T1490, T1547, T1550.002, T1555, T1557, have more...

IOCs:
IP: 7
Domain: 7
Hash: 1

Soft:
macOS, WeChat

Algorithms:
sha256

Languages:
swift, rust

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4