#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакер CL-CRI-1014 атакует африканские финансовые учреждения, используя такие инструменты, как Classroom Spy и PoshC2, для маскировки вредоносных программ, выполнения команд и кражи учетных данных, избегая обнаружения. Их тактика включает подделку законного программного обеспечения, использование прокси-инструментов, таких как Chisel, и поддержание постоянства с помощью замаскированных файлов.
-----

Хакер, связанный с кластером CL-CRI-1014, атакует финансовые учреждения по всей Африке, используя сложную схему действий, в которой используются как инструменты с открытым исходным кодом, так и свободно доступные инструменты. Их оперативная тактика заключается в подделке сигнатур файлов из законного программного обеспечения, чтобы замаскировать свои инструменты и избежать обнаружения. Этот акт подмены не отражает каких-либо уязвимостей в самих законных продуктах, но служит интересам злоумышленника в сокрытии своих вредоносных действий.

В ходе недавних кампаний группа перешла от использования MeshAgent — инструмента с открытым исходным кодом для удаленного управления устройствами - к использованию Classroom Spy, который позиционируется как образовательное программное обеспечение для мониторинга активности учащихся. Этот переход демонстрирует адаптивную стратегию в методах проведения атак. Такие инструменты, как PoshC2 и Chisel, занимают видное место в арсенале этого хакера. PoshC2 - это платформа для атак с открытым исходным кодом, которая позволяет создавать импланты на различных языках, таких как PowerShell и C#.NET, облегчая выполнение команд в целевых средах. В этом случае имплантаты PoshC2 часто упаковывались с использованием специализированного упаковщика на основе Nim, который запускал имплантат только в том случае, если хост-компьютер был частью домена Active Directory, что, вероятно, служило механизмом предотвращения анализа.

Злоумышленники продемонстрировали возможности кражи учетных данных, перехватывая учетные данные пользователей из зараженных сред для установки прокси-серверов. PoshC2 использует эти прокси-серверы для связи с серверами управления (C2), адаптируя определенные имплантаты для работы в конкретных зараженных средах. Методы сохранения были использованы творчески; например, вредоносное ПО было замаскировано под законные файлы, такие как CortexUpdater.exe, а связанные с ним запланированные задачи имитировали подлинные службы, чтобы остаться незамеченными.

Chisel, еще один инструмент, используемый злоумышленниками, облегчает проксирование сетевого трафика в обход таких мер безопасности, как брандмауэры. После запуска на компьютере жертвы Chisel позволяет компьютеру подключаться к серверу, контролируемому злоумышленником, эффективно обеспечивая удаленный доступ и контроль над сетью.

Описанные действия указывают на то, что CL-CRI-1014 функционирует как посредник первоначального доступа, используя скомпрометированные сети и потенциально продавая доступ другим злоумышленникам. Этот способ действия означает более широкую стратегию, в рамках которой хакер стремится внедриться в сети финансового сектора, избегая при этом обнаружения с помощью законной маскировки и умелого использования различных инструментов и методов.

#ParsedReport #CompletenessLow
26-06-2025

DeepSeek Deception: Sainbox RAT & Hidden Rootkit Delivery

https://www.netskope.com/blog/deepseek-deception-sainbox-rat-hidden-rootkit-delivery

Report completeness: Low

Actors/Campaigns:
Silver_fox

Threats:
Sainbox_rat
Gh0st_rat

Geo:
Chinese, China

ChatGPT TTPs:
do not use without manual check
T1005, T1014, T1027, T1036.005, T1055.001, T1055.002, T1068, T1105, T1204.002, T1219, have more...

IOCs:
File: 4
Hash: 19
IP: 3

Soft:
DeepSeek, Sogou, Chromium, Windows registry

Win API:
NtLoadDriver

Links:
https://github.com/monoxgas/sRDI
have more...
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/Sainbox
https://github.com/JKornev/hidden

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В кампании, нацеленной на пользователей, говорящих на китайском языке, используются программы установки поддельного программного обеспечения для распространения Sainbox RAT и скрытого руткита с помощью фишинговой тактики. Злоумышленники используют файлы MSI для дополнительной загрузки вредоносной библиотеки DLL, которая помогает в удаленном доступе, краже данных и скрытых операциях, которые не поддаются обнаружению. Группа Silver Fox из Китая предварительно отнесена к этой деятельности на основании их ТТП.
-----

Netskope Threat Labs выявила кампанию по распространению Sainbox RAT и скрытого руткита, в которой использовались программы для установки поддельного программного обеспечения, специально ориентированную на китайскоязычных пользователей. В этой атаке используется тактика фишинга, при которой злоумышленники создают мошеннические веб-сайты, имитирующие законное программное обеспечение, такое как WPS Office, Sogou и DeepSeek. Вредоносная полезная нагрузка доставляется через установочные файлы MSI и PE, причем файлы MSI демонстрируют аналогичное поведение. Как только жертва загружает поддельный установщик, запускается процесс, имитирующий подлинную установку и выполняющий вредоносные действия.

Механизм заражения заключается в доступе к фишинговому сайту для загрузки поддельного установщика. Поддельные установщики, в основном MSI-файлы, запускают законный исполняемый файл с именем "Shine.exe", который используется для дополнительной загрузки вредоносной библиотеки DLL "libcef.dll." Эта DLL-библиотека маскируется под подлинную часть платформы Chromium Embedded Framework и отвечает за критическую аналитику при атаке. Она поддерживает постоянство, добавляя путь к Shine.exe в реестр Windows и считывая файл с именем "1.txt", который содержит шеллкод и дополнительные вредоносные программы.

Извлеченный шеллкод размером примерно 0xc04 байта использует методы из инструмента sRDI с открытым исходным кодом для загрузки Sainbox RAT в память, обеспечивая удаленный доступ и управление. RAT характеризуется как вариант Gh0stRAT, который облегчает различные вредоносные действия, включая кражу данных и выполнение других полезных задач. Кроме того, он интегрируется с руткит-драйвером на основе Hidden project, предназначенным для сокрытия своего присутствия и действий, обеспечивая возможности скрытности от обнаружения программным обеспечением безопасности.

Операционные характеристики, продемонстрированные в ходе этой кампании, указывают на систематическое использование фишинговых веб-сайтов для распространения вредоносных программ, одновременно повышая доверие пользователей к популярному программному обеспечению. Группа противников Silver Fox из Китая была предварительно отнесена к этим действиям со средней степенью уверенности, основываясь на их тактике, методах и процедурах (TTP). Злоумышленники используют хорошо известные варианты RAT наряду с технологией руткитов с открытым исходным кодом, что позволяет осуществлять эффективный контроль и отказываться от необходимости масштабной разработки на заказ, тем самым повышая эффективность своей работы.

Netskope Threat Labs продолжает отслеживать прогресс в разработке Sainbox RAT и любых новых методологий, связанных с Silver Fox group, что еще раз подчеркивает трудности точного отнесения хакеров к конкретным группам противников, отмечая при этом изменчивый характер ландшафта угроз.

#ParsedReport #CompletenessLow
26-06-2025

CapCut Con: Apple Phishing & Card-Stealing Refund Ruse

https://cofense.com/blog/capcut-con-apple-phishing-card-stealing-refund-ruse

Report completeness: Low

Victims:
Capcut users, Apple id users

ChatGPT TTPs:
do not use without manual check
T1036, T1078, T1566.002, T1566.003

IOCs:
IP: 4
Url: 2

Soft:
CapCut

Languages:
php

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют фишинговую кампанию с использованием фирменного знака CapCut для сбора информации об Apple ID и кредитных картах. Жертвы обманом вводят учетные данные на поддельной странице входа в систему, с помощью которой данные попадают на сервер управления. Атака использует две подсказки и манипулирует срочностью, чтобы укрепить доверие и увеличить вероятность кражи информации.
-----

Киберпреступники используют популярность CapCut, ведущего приложения для редактирования коротких видеороликов, с помощью недавней фишинговой кампании, направленной на сбор конфиденциальной информации о пользователях. Команда Cofense PDC выявила метод, с помощью которого хакеры создают убедительные поддельные счета-фактуры, в которых используются данные Apple ID и кредитной карты. Эти фишинговые схемы используют фирменный стиль CapCut, чтобы казаться законными, и успешно обманывают пользователей, заставляя их предоставлять свои учетные данные.

Когда пользователь взаимодействует с фишинговой приманкой, в частности, нажимает на ссылку "Отменить подписку", он перенаправляется на мошенническую веб-страницу, созданную для имитации официальной страницы входа в Apple ID. Указанный URL-адрес "Flashersofts.store/Applys/project/index.php" отличается от любых законных сервисов Apple, что должно насторожить пользователей. Здесь на поддельной странице пользователям предлагается ввести свои учетные данные Apple ID, используя надежный бренд для создания ложного ощущения безопасности. Как только учетные данные отправлены, они отправляются на сервер управления (C2), контролируемый злоумышленниками.

В этой схеме используется двухэтапный подход, позволяющий максимально увеличить вероятность получения учетных данных. После первоначальной кражи данных Apple ID пользователи получают повторное приглашение, в котором запрашиваются данные кредитной карты под предлогом обработки возврата средств. Этот шаг не только продолжает использовать доверие жертвы, но и использует ту же инфраструктуру C2, что усиливает бесперебойный характер атаки. Демонстрируя манипулятивную срочность с помощью угрозы нежелательных платежей и привлекательности потенциального возврата средств, злоумышленники еще больше вовлекают жертву в процесс фишинга.

Использование привычного бренда и стратегия, направленная на то, чтобы отвлечь внимание пользователей от подозрений до получения первого набора учетных данных, демонстрируют изощренность современных методов фишинга. Поэтому пользователям крайне важно сохранять здоровый скептицизм в отношении неожиданных запросов и тщательно проверять URL-адреса, чтобы защититься от подобной тактики. Постоянный мониторинг подозрительных сообщений и составление отчетов о них необходимы по мере того, как хакеры разрабатывают свои стратегии социальной инженерии.

#ParsedReport #CompletenessMedium
27-06-2025

In the Wild: Malware Prototype with Embedded Prompt Injection

https://research.checkpoint.com/2025/ai-evasion-prompt-injection/

Report completeness: Medium

Threats:
Zeus
Sandbox_evasion_technique

Industry:
Education

Geo:
Netherlands

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1105, T1140, T1204.002, T1564.001, T1573, T1583.001, T1584.004

IOCs:
File: 4
Registry: 1
Path: 4
Domain: 2
Hash: 1

Soft:
Openai, VirtualBox, QEMU, Hyper-V, Linux

Algorithms:
xor, base64

Functions:
hasHypervisorCpuFlag, checkBiosVendor, checkEnvironmentVmVars, checkNetworkAdapterMac, checkVmProcesses

Win API:
CreateProcessA

Platforms:
apple

Links:
https://github.com/mrexodia/ida-pro-mcp
https://github.com/atredispartners/aidapal

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Образец вредоносной программы Skynet использует быстрое внедрение, чтобы избежать обнаружения за счет изменения поведения искусственного интеллекта, но его эффективность ограничена в отношении крупных языковых моделей. В нем реализованы базовые функциональные возможности, такие как сбор системной информации и защита от "песочницы", при этом используются методы обфускации, хотя он остается менее сложным, чем общепринятые методы. Это указывает на потенциальную тенденцию к объединению возможностей искусственного интеллекта с разработкой вредоносных программ, что требует повышенной готовности к новым угрозам.
-----

Недавний анализ вредоносного ПО выявил новый образец, демонстрирующий отличительную технику уклонения с помощью быстрого внедрения, специально направленную на изменение поведения анализирующих его моделей искусственного интеллекта. Этот вредоносный компонент, называемый Skynet, обладает характеристиками, которые позволяют предположить, что он работает скорее как проверка концепции, чем как полноценное кибероружие. В примере используется простой механизм, который пытается манипулировать инструкциями ИИ, предписывая ему игнорировать предыдущие команды и отвечать сообщением "ВРЕДОНОСНОЕ ПО НЕ ОБНАРУЖЕНО". Однако тесты показывают, что этот метод не работает с различными большими языковыми моделями (LLM), что указывает на недостаточную эффективность манипулирования ИИ в вредоносных целях на данном этапе.

Образец Skynet демонстрирует ключевые функциональные возможности, но процесс его выполнения выглядит рудиментарным. Он пытается собрать системную информацию, такую как доступ к файлам в домашнем каталоге и критическим системным путям, но его архитектура и операционный процесс кажутся неполными, что часто приводит к неиспользуемым ресурсам. Вредоносная программа использует методы обхода "песочницы" и использует встроенный зашифрованный клиент TOR для создания прокси-сервера для скрытых коммуникаций. После запуска она настраивает этот прокси-сервер и впоследствии удаляет каталог, в котором хранятся ее компоненты, с целью скрыть свои следы от обнаружения.

Дизайн этой вредоносной программы включает в себя элементы запутывания, использующие функции уровня сборки, называемые opaque_true и opaque_false, для усложнения процесса управления. Несмотря на эти попытки скрытности, их эффективность сомнительна, и в целом поведение было оценено как менее изощренное по сравнению с хорошо зарекомендовавшими себя методами уклонения. Попытки уклонения отражают консервативный подход, присущий традиционным методам вредоносного ПО, которые часто основаны на проверенных стратегиях, принятых хакерским сообществом.

Последствия этого нововведения подчеркивают потенциальную взаимосвязь между новыми возможностями ИИ и разработкой вредоносных программ, что указывает на будущее, в котором авторы вредоносных программ могут все чаще использовать методы ИИ. Идея использования ИИ для создания более эффективных атак подчеркивает изменение ландшафта угроз, поскольку простота реализации расширенных возможностей представляет проблему для защитников. По мере развития методов обеспечения безопасности с внедрением генеративного ИИ ожидается, что авторы вредоносных программ будут адаптировать и совершенствовать свои стратегии, что приведет к непрерывному циклу инноваций как в разработке вредоносных программ, так и в механизмах защиты. Этот сценарий свидетельствует о растущей потребности в повышенной бдительности и готовности к все более изощренным угрозам с помощью ИИ.

#ParsedReport #CompletenessMedium
27-06-2025

Bluenoroff (APT38) real-time infrastructure tracking

https://www.ctfiot.com/258665.html

Report completeness: Medium

Actors/Campaigns:
Bluenoroff (motivation: financially_motivated, cyber_espionage, information_theft, sabotage)
Lazarus (motivation: financially_motivated)
Andariel
Kimsuky (motivation: cyber_espionage)
Smn
1mission
Dark_seoul

Threats:
Flame

Victims:
Bangladesh bank, Bancomext, Bank of chile, Sony pictures

Industry:
Government, Military, Financial, Critical_infrastructure, Entertainment

Geo:
Bangladesh, North korean, Chile, North korea, Mexico

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1078, T1105, T1486, T1490, T1547, T1550.002, T1555, T1557, have more...

IOCs:
IP: 7
Domain: 7
Hash: 1

Soft:
macOS, WeChat

Algorithms:
sha256

Languages:
swift, rust

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT38, подгруппа Lazarus Group, специализируется на финансовых киберпреступлениях и с 2014 года атакует банки и криптовалютные биржи по всему миру. Ключевые инциденты включают кражу из банка Бангладеш на сумму 81 миллион долларов; их вредоносная программа Cosmic Rust нацелена на macOS, а фишинговые действия связаны с IP-адресом 104.168.151.116.
-----

Кибератаки Северной Кореи часто приводят к сложным проблемам с установлением авторства из-за совпадающих соглашений об именах у разных хакеров. Многие исследователи безопасности относят всю деятельность, спонсируемую северокорейским государством, к группе Lazarus Group, а не отслеживают конкретные подгруппы, такие как Andariel, APT38 (также известная как Bluenoroff) и APT43 (Kimsuky). APT38, связанная с Главным разведывательным управлением Северной Кореи (RGB), в первую очередь финансово мотивирована и действует примерно с 2014 года. Эта подгруппа несла ответственность за крупномасштабные атаки на различные финансовые учреждения, включая банки, криптовалютные биржи и банкоматы, по меньшей мере в 38 странах.

Известные инциденты, связанные с APT38, включают печально известное ограбление банка в Бангладеш в 2016 году, когда они успешно похитили 81 миллион долларов, и значительные нарушения в 2018 году, связанные с Bancomext и Banco de Chile, которые включали в себя деструктивные действия, направленные на срыв усилий по реагированию на инциденты. В более широком плане, хотя Lazarus Group известна своими операциями, проводимыми при поддержке государства с 2009 года и нацеленными на политические структуры и критически важную инфраструктуру по всему миру, APT38 по-прежнему сосредоточена на финансовых киберпреступлениях.

Инструменты, инфраструктура и персонал в значительной степени распределены между северокорейскими APT, что приводит к существенным трудностям с атрибуцией. Аналитики часто объединяют их под одним названием, признавая при этом конкретные различия между подгруппами. Компания Andariel известна своими кибероперациями, ориентированными на военные нужды, в то время как APT43 занимается шпионажем.

Важно отметить, что в ходе расследования инфраструктуры APT38 был выявлен конкретный IP-адрес 104.168.151.116, по которому были обнаружены текущие кибератаки, включая операции с фишинговыми доменами. Недавно выявленные фишинговые домены показали высокую степень сходства с доменами, ранее привязанными к этому IP-адресу. Кроме того, сообщалось, что вредоносное ПО, приписываемое APT38, взаимодействует с сервером управления по другому конкретному IP-адресу, 104.168.136.24. Примечательно, что обнаруженное вредоносное ПО было отнесено к семейству Cosmic Rust, которое специально предназначено для систем macOS и является примером адаптации APT38 для различных платформ. Этот меняющийся ландшафт угроз подчеркивает постоянный и изощренный характер киберопераций Северной Кореи.

#ParsedReport #CompletenessMedium
27-06-2025

Case of attack targeting domestic web servers using MeshAgent and SuperShell

https://asec.ahnlab.com/ko/88559/

Report completeness: Medium

Actors/Campaigns:
Unc5174

Threats:
Meshagent_tool
Supershell
Wograt
Tinyshell
Rekoobe_rootkit
Ladon_tool
Fscan_tool
Chinachopper
Godzilla_webshell
Regeorg_tool
Netstat_tool
Powerladon_tool
Sweetpotato_tool
Wingsofgod
Wmiexec_tool

Victims:
Domestic web servers, Windows servers, Linux servers, Organizations, Ms sql servers

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1003.004, T1018, T1021.001, T1021.002, T1047, T1053.005, T1059.001, T1068, T1071.001, T1078, have more...

IOCs:
Path: 2
File: 5
Command: 2
Url: 5
Hash: 5
Domain: 1
IP: 2

Soft:
Linux, Android, MS-SQL

Algorithms:
md5

Win Services:
WebClient

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 3, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кибератаки были нацелены на веб-серверы Windows и Linux с использованием вредоносных программ MeshAgent и SuperShell, которые использовали уязвимость при загрузке файлов для развертывания веб-оболочки и получения контроля над системами. Методы атаки включали в себя горизонтальное перемещение с использованием таких инструментов, как Fscan и Ladon, для повышения привилегий, в то время как бэкдор WogRAT, связанный с предыдущими инцидентами, указывает на настойчивого хакера.
-----

Были подтверждены недавние кибератаки, целью которых были внутренние веб-серверы Windows и Linux с использованием вредоносных программ MeshAgent и SuperShell. Судя по имеющимся данным, злоумышленники использовали уязвимость при загрузке файлов для развертывания веб-оболочки, что позволило им установить дополнительное вредоносное ПО и установить контроль над скомпрометированными системами. Заметным компонентом, обнаруженным в ходе атак, является WogRAT, вредоносное ПО с бэкдором, созданное на основе Tiny SHell с открытым исходным кодом. Этот вариант был связан с предыдущей атакой, в которой использовался aNotepad, что указывает на вероятную преемственность действий того же хакера.

Методы, использованные при атаках, позволяют выделить несколько ключевых приемов, связанных с перемещением по горизонтали и постоянством. Первоначальное проникновение включало использование веб-оболочек формата ASP и ASPX, специально разработанных для серверов Windows, о чем свидетельствуют журналы, демонстрирующие различные экземпляры веб-оболочек, такие как Chopper, Godzilla и Regeorg. После настройки этих начальных точек доступа злоумышленники использовали такие инструменты, как Fscan для сканирования сети и Ladon для повышения привилегий. Ladon, наряду со своей итерацией PowerLadon для PowerShell, предоставляет разнообразные функции, которые позволяют злоумышленникам проводить сканирование, получать конфиденциальную информацию и выполнять вредоносные действия после заражения.

Особого внимания заслуживает тактика повышения привилегий, при которой злоумышленники использовали командные возможности "SweetPotato" от Ladon для повышения своих прав доступа. Они дополнили эти действия установкой SuperShell и MeshAgent для дальнейшего контроля зараженной инфраструктуры. SuperShell, мультиплатформенная обратная оболочка, разработанная на Go, и MeshAgent, который собирает важные данные для управления системой и поддерживает удаленные действия, имеют решающее значение для успеха операций злоумышленников.

Методы латерального перемещения были подтверждены с помощью WMIExec и кражи учетных данных, при этом злоумышленники получили доступ к NT-хэшу учетных записей администраторов с помощью инструмента дампа сетевых паролей. Это позволило получить дополнительный доступ по всей сети организации, ориентируясь на серверы MS-SQL в рамках своей стратегии. Связь WogRAT с предыдущими действиями в сочетании с использованием уязвимостей в веб-серверах раскрывает сложную схему работы и предполагает целенаправленную цель: потенциальную утечку конфиденциальной информации или внедрение программ-вымогателей.

#ParsedReport #CompletenessHigh
27-06-2025

OneClik: A ClickOnce-Based APT Campaign Targeting Energy, Oil and Gas Infrastructure

https://www.trellix.com/en-au/blogs/research/oneclik-a-clickonce-based-apt-campaign-targeting-energy-oil-and-gas-infrastructure/

Report completeness: High

Actors/Campaigns:
Oneclik
Apt-q-14
Earth_baxia
Winnti

Threats:
Onecliknet
Runnerbeacon
Process_injection_technique
Cobalt_strike_tool
Geacon
Antidebugging_technique
Grimresource_technique
Backdoor.win.generic
Spear-phishing_technique

Victims:
Energy, Oil, Gas

Industry:
Energy, Petroleum

Geo:
Chinese, Apac

TTPs:
Tactics: 4
Technics: 11

IOCs:
File: 21
Domain: 2
Hash: 19
Url: 10

Algorithms:
xor, sha256, base64, exhibit, rc4, aes, aes-128-cbc

Functions:
GetBytes, GetFunctionPointerForDelegate, WriteMemory, GetDelegateForFunctionPointer, GetConsoleWindow, HTTPS

Win API:
EtwEventWrite, CheckRemoteDebuggerPresent, NtQueryInformationProcess, NetGetJoinInformation, NetGetAadJoinInformation, GlobalMemoryStatusEx, GetProcAddress, NtProtectVirtualMemory, CreateProcessW

Languages:
golang, dotnet

Platforms:
x64, amd64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания OneClik APT нацелена на энергетический сектор и использует фишинг и Microsoft ClickOnce для развертывания загрузчика OneClikNet на базе .NET, который запускает RunnerBeacon, сложный бэкдор Golang. Используя законные сервисы AWS для скрытности и используя методы уклонения, он устанавливает зашифрованную связь C2, внедряя вредоносный код в приложения .NET applications.
-----

OneClik - это кампания по распространению вредоносных программ APT, нацеленная на энергетический, нефтяной и газовый секторы. Кампания связана с хакерами, связанными с Китаем, хотя ее авторство остается неподтвержденным. OneClik использует фишинг и технологию Microsoft ClickOnce для распространения. Кампания включает в себя три варианта: v1a, BPI-MDM и v1d, использующие загрузчик .NET под названием OneClikNet. OneClikNet использует бэкдор RunnerBeacon, разработанный в Golang, который взаимодействует через сервисы AWS, такие как CloudFront и API Gateway. ClickOnce используется для скрытого выполнения полезной нагрузки через службу развертывания (dfsvc.exe). Злоумышленники используют фишинговые ссылки, которые приводят жертв на сайт, содержащий манифест ClickOnce, запускающий выполнение вредоносного ПО. Вариант версии 1a начинается с файла с именем "victim_Hardware_Analysis_Tool.application", который запускает скомпрометированный исполняемый файл. OneClikNet использует модульную конструкцию для идентификации жертв и использует методы обхода, такие как перемещение памяти и меры по предотвращению отладки. RunnerBeacon устанавливает зашифрованные каналы C2 с использованием HTTP(ов) и WebSockets и поддерживает выполнение команд, управление файлами и сетевые операции. Инфраструктура C2 маскирует вредоносный трафик в сервисах AWS, что усложняет усилия по обнаружению. Кампания демонстрирует возросшую сложность различных вариантов, особенно в методах обхода. В нефтегазовом секторе Ближнего Востока был обнаружен вариант RunnerBeacon. Тактика включает в себя .Перехват NET AppDomainManager и зашифрованная полезная нагрузка наводят на мысль об общих методологиях с известной китайской тактикой APT.

#ParsedReport #CompletenessLow
27-06-2025

Behind Scattered Spider: Activity, TTPs, and What to Watch For

https://www.bitsight.com/blog/who-is-scattered-spider-ransomware-group

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: financially_motivated, cyber_criminal)

Threats:
Blackcat
Smishing_technique
Sim_swapping_technique
Lolbin_technique
Ransomhub
Qilin_ransomware
Dragonforce_ransomware
Aitm_technique
Credential_dumping_technique
Spear-phishing_technique

Victims:
Mgm resorts, Caesars entertainment, Caesars palace, Marks & spencer, Co-op, Harrods

Industry:
Entertainment, Education, Bp_outsourcing, Retail

Geo:
Canada

TTPs:
Tactics: 3
Technics: 45

Soft:
Twitter